Трафик к более чем 200 крупнейшим в мире сетям доставки контента (CDN) и облачным хостам недавно был перенаправлен через российского оператора связи «Ростелеком». Хотя инцидент длился всего около часа, он затронул более 8,800 маршрутов интернет-трафика из более чем 200 сетей. Компании, пострадавшие от взлома BGP, включают Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner, Linode и другие. BGP (протокол пограничного шлюза) — это фактически система, используемая для маршрутизации интернет-трафика между интернет-сетями по всему миру. Однако у системы есть серьезный недостаток, заключающийся в том, что любая участвующая сеть может лгать и рекламировать (маршрут BGP), что серверы других компаний находятся в их сети. Другие интернет-объекты сочтут рекламу законной и отправят весь трафик одной компании на серверы угонщика. До того, как HTTPS получил широкое распространение, взлом BGP позволял злоумышленникам запускать атаки «человек посередине» (MitM), а также перехватывать и изменять интернет-трафик. Сегодня перехваты BGP остаются угрозой, потому что они позволяют злоумышленнику регистрировать трафик для анализа и расшифровки позже, когда шифрование, используемое для его защиты, было взломано.
Обход BGP
Эксперты говорят, что не все перехваты BGP являются злонамеренными, поскольку они часто могут быть результатом неправильного ввода ASN человеком-оператором и случайного перехвата интернет-трафика компании. Тем не менее, некоторые телекоммуникационные компании продолжают быть регулярными источниками перехватов BGP, что позволяет предположить, что это не просто случайность. В настоящее время China Telecom стоит за большинством взломов BGP, но Ростелеком также стоит за многими подобными подозрительными инцидентами. В 2017 году российский государственный телекоммуникационный провайдер захватил маршруты BGP для некоторых крупнейших мировых финансовых компаний, включая Visa, Mastercard, HSBC и других. Подразделение Cisco BGPMon охарактеризовало этот инцидент как «любопытный» в то время, поскольку он, по-видимому, повлиял только на финансовые услуги, а не на ASN с требованием выкупа. Что касается последнего инцидента, то жюри еще не вынесено, а основатель BGPMon Андре Тунк опубликовал в Твиттере сообщение, объясняющее, что взлом мог произойти после внутренней системы формирования трафика. из «Ростелекома» случайно выложили плохие BGP-маршруты в общедоступный Интернет, заявив: «Что бы это ни стоило: я не думаю, что они намеревались объявить об этом остальному миру (угон). То, что мы увидели здесь, случайно, заключается в том, что они обрабатывают эти специальные (новые, более специфические) префиксы внутри вашей сети. Вероятно, по какой-то причине «инженерии трафика». авария, которая может иметь место здесь.- Также ознакомьтесь с нашим полным списком лучших VPN-сервисов.