Интернет-трафик ряда крупнейших технических компаний был временно перенаправлен в Россию в начале этой недели из-за атаки протокола пограничного шлюза (BGP), сообщает securityweek.
Во вторник об инциденте сообщила служба интернет-мониторинга BGPmon, принадлежащая OpenDNS. В BGPmon обратили внимание, что 80 IP-префиксов для таких организаций, как Google, Microsoft, Apple, Facebook, NTT Communications, Twitch и Riot Games, были анонсированы российской Автономной Системой (AS).
Это произошло дважды во вторник, и каждый раз длилось примерно по три минуты, с 04:43 по 04:46 UTC и с 07:07 по 07:10 UTC.
Несмотря на краткосрочность, BGPmon сообщил, что инциденты были значительными, т.к. анонсирование было замечено некоторыми крупными интернет-провайдерами, такими как Hurricane Electric и Zayo в США, Telstra в Австралии и NORDUnet в скандинавских странах.
Еще один интересный аспект заключается в том, что весь целевой трафик был связан с крупными организациями. Эксперты также отметили, что от российских AS (AS39523) не было подобного анонсирования несколько лет до этого инцидента.
“То, что делает этот случай особенно подозрительным, это префиксы, которые были затронуты – все назначения высокого профиля, а также несколько более специфических префиксов, которые обычно не фигурируют в интернете. Это означает, что это не простая утечка, что кто-то намеренно вставляет эти более специфические префиксы, возможно, с намерением привлечь трафик”, – написала BGPmon в своем блоге.
“Каковы бы ни были последствия инцидента, это, как минимум, еще один яркий пример того, насколько легко перенаправлять трафик для третьих сторон, преднамеренно или случайно. Это также является хорошим напоминанием для каждого крупного интернет-провайдера, что необходимо фильтровать клиетов”, – добавила компания.
По словам Роберта Гамильтона, директора по маркетингу продуктов Imperva, трудно сказать, какова была цель в этом конкретном случае, учитывая, что атаки длились недолго. Однако, он отметил, что такие типы атак могут использоваться для самых разных целей, таких “как махинации с сайтами, чтобы посетители загружали вредоносное содержимое, оставляли личные данные или финансовую информацию”.
Крис Моралес, руководитель аналитической безопасности в Vectra, калифорнийском поставщике автоматических решений для различных угроз, отметил, что пользователи доверяют таким влиятельным онлайн-ресурсам как Google, Apple, Facebook, Microsoft и др., т.к. данные защищены с помощью протокола HTTPS. Однако, если возможно манипулировать протоколом маршрутизации BGP для выполнения атак типа man-in-the-middle (MitM), то возможно также манипулировать шифрованием TLS / SSL и подслушивать пользователей.
О захвате BGP
BGP (Border Gateway Protocol) – это протокол, используемый для обмена передаваемой информацией между независимыми сетями в интернете, также известными как автономные системы AS. В частности, протокол определяет наиболее эффективный маршрут между сетями. Каждая AS объявляет список IP-адресов, которые известны как префиксы, и делится данными со своими “соседями” (одноранговыми узлами), чтобы помочь определить наиболее эффективный путь.
Джейсон Кент, технический директор консалтинговой фирмы AsTech, дал простое объяснение того, как все это работает, и почему было возможно это “подозрительное” событие, замеченное BGPmon.
“Маршрутизаторы [которые сотрудничают с этими крупными организациями] все находятся на связи друг с другом, чтобы создать самые полные таблицы маршрутизации. Когда член новой группы маршрутизаторов объявляет о своих маршрутах другим членам, они все обновляют таблицу. Когда пользователь переходит на apple.сom, на самом деле он переходит на один из веб-серверов Apple с IP-адресом, например, 105.68.88.209, но именно интернет-провайдер пользователя должен выяснить, где это находится. Таким образом, у провайдера есть эта большая таблица маршрутизации, в которой говорится, что в принципе доступ к 105.x.y.z осуществляется через конкретный одноранговый узел, и именно туда отправляется трафик”, – пояснил Кент.
“Большая таблица маршрутизации постоянно обновляется сообщениями других устройств. Все сообщество маршрутизаторов в интернете постоянно сообщает друг другу о местах, по которым может пройти сигнал, – сказал Кент. “Эти объявления выполняются в системе [BGP], которая является старой и редко обновляется. Поэтому, “говоря”, что ваше устройство знает лучший путь, можно обманывать все девайсы, которые направляют трафик”.
Атаки по захвату BGP проводились уже много раз. И, несмотря на то, что защита от таких угроз у провайдеров действительно существует, часто киберпреступники могут ее обойти.
“Например, правительства могут использовать этот способ для ограничения интернет-доступа к определенным веб-сайтам или фильтрации контента, такого как реклама, которую они считают незаконной”, – объясняет Джозеф Карсон, главный научный сотрудник службы безопасности PAM-решений Thycotic. “Так, в 2008 году Пакистан попытался заблокировать доступ к YouTube и полностью контролировать доступ в интернет”.
“Киберпреступники обычно используют этот метод, чтобы перенаправлять запросы на зараженные сайты, используемые для распространения вредоносного ПО”, – добавил Карсон. “Также он может использоваться для того, чтобы “положить” сайты или даже направить трафик напрямую в определенную страну, вызвав DDOS-атаку”.
