Get best of the week

Wie Rostelecom den Datenverkehr fälschlicherweise an Google, AWS, Cloudflare usw. umleitete

Anfang dieser Woche (1.-5. April 20) wurde der Verkehr für mehr als 200 der weltweit größten CDN- und Cloud-Anbieter verdächtig über Rostelecom (Russlands größter Telekommunikationsanbieter) umgeleitet .

Der Vorfall betraf mehr als 8.800 Internet-Verkehrswege von mehr als 200 Netzwerke und dauerte etwa eine Stunde.

Betroffen sind Unternehmen, die auf dem Cloud- und CDN-Markt tätig sind, darunter große Namen wie Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner und Linode.

Technische Details



Der Vorfall ist der klassische BGP-Hijack .

BGP steht für Border Gateway Protocol und ist ein De-facto-System zur Weiterleitung des Internetverkehrs zwischen Internet-Netzwerken auf der ganzen Welt.

Das gesamte Internet-Routing-System ist immer noch äußerst fragil, da jedes der teilnehmenden Netzwerke einfach „lügen“ und eine Werbung (BGP-Route) veröffentlichen kann, aus der hervorgeht, dass sich die „Facebook-Server“ in ihrem Netzwerk befinden, und viele Anbieter dies als legal und legal betrachten Sende den gesamten Facebook-Verkehr an die "Trickster" -Server.

Geschichtstour


In früheren Zeiten, bevor HTTPS häufig zum Verschlüsseln des Datenverkehrs verwendet wurde, erlaubten BGP-Hacker Angreifern, " Man-in-the-Middle " -Angriffe auszuführen und den Internetverkehr abzufangen / zu ändern.

Derzeit sind BGP-Hacks immer noch gefährlich, da sie es einem Angreifer ermöglichen, Datenverkehr zu registrieren, zu analysieren und später zu entschlüsseln, wenn die zum Schutz verwendete Verschlüsselung aufgrund von Fortschritten in der Kryptografie geschwächt wurde.

BGP-Hacks sind seit Mitte der 90er Jahre ein Problem für das Internet-Backbone, und im Laufe der Jahre wurden mit Projekten wie ROV, RPKI und zuletzt MANRS Anstrengungen unternommen, um die Sicherheit des BGP-Protokolls zu verbessern .

Die Einführung neuer Protokolle schreitet jedoch nur langsam voran, und es kommt weiterhin regelmäßig zu BGP-Spoofing.

Beispielsweise hat im November 2018 ein kleiner nigerianischer Internetdienstanbieter den für das Google-Netzwerk bestimmten Datenverkehr abgefangen , und im Juni 2019 wurde der größte Teil des europäischen Mobilfunkverkehrs über China Telecom , den staatlichen und größten Telekommunikationsbetreiber in China, umgeleitet .

Rostelecom - ein wiederholter Täter


In der Vergangenheit haben Experten wiederholt festgestellt, dass nicht alle BGP-Entführer zielgerichtet gehandelt haben. Die meisten Vorfälle können auf einen menschlichen Faktor zurückzuführen sein: Der Betreiber hat sich beim Wählen des Lieferavis (dem Code, anhand dessen Internet-Entitäten identifiziert werden) versiegelt und versehentlich den Internet-Verkehr dieses Unternehmens gestohlen.

Organisationen, die regelmäßig BGP-Entführungen überwachen, sowie Vorfälle, die viele Experten als verdächtig bezeichnen, weisen jedoch darauf hin, dass es sich häufig nicht nur um zufällige Fehler handelt.

China Telecom gilt derzeit als der größte Verbrecher an dieser Front [ 1 , 2 ].

Trotz der Tatsache, dass Rostelecom ( AS12389) beteiligt sich nicht an so weit verbreiteten BGP-Entführungen wie China Telecom, sondern steckt auch hinter vielen ähnlichen verdächtigen Vorfällen.

Die letzte größere Entführung von Rostelecom erfolgte im Jahr 2017, als die BGP-Strecken für mehrere der weltweit größten Finanzinstitute ersetzt wurden, darunter Visa, Mastercard, HSBC und viele andere.

Zu dieser Zeit beschrieb Cisco BGPMon den Vorfall als „merkwürdig“, da er anscheinend nur Finanzdienstleistungen betraf, keine zufälligen Lieferavise.

Diesmal ist alles zweideutig: BGPMon-Gründer Andree Toonk bezweifelt den Fokus des russischen Betreibers und sagte auf seinem Twitterdass das "Hacken" stattfand, nachdem das interne Verkehrsmanagementsubsystem von Rostelecom versehentlich die falschen BGP-Routen im öffentlichen Internet und nicht im internen Netzwerk von Rostelecom aufdecken konnte.

Auf die ganze Situation


Wie viele Internet-Experten in der Vergangenheit festgestellt haben, kann eine absichtliche Entführung von BGP wie ein zufälliger Fehler aussehen, und niemand kann den Unterschied bemerken.

BGP-Entführungen bei staatlich kontrollierten Telekommunikationsorganisationen in autokratischen Ländern wie China und Russland werden immer als verdächtig angesehen, vor allem aus politischen und nicht aus technischen Gründen.

Weitere Links:
Weitere Informationen zu diesem Streckenleck ab dem 2. April: habr.com/ru/company/qrator/blog/495274
Medienantwort und Antwort von Rostelecom: tjournal.ru/news/156008-zhurnalist-poprosil-rostelekom-obyasnit-peregruzku- seti-iz-za-karantina-press-sluzhba-otvetila-emu-a-potom-oskorbila
tech.slashdot.org/story/20/04/07/0018229/russian-telco-hijacked-internet-traffic-of-google-aws-cloudflare-and-others

More articles:


All Articles