Ростелеком обвинили в «угоне» трафика Google и Amazon
Инцидент затронул более 8 800 маршрутов интернет-трафика из более чем 200 сетей и продолжался около часа. Затронутые компании — это одни из ключевых игроков на рынке облачных технологий и CDN, включая такие громкие имена, как Google, Amazon, Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации), Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner и Linode. Полный список задействованных адресов опубликован специальным сервисом мониторинга атак типа «BGP hijack» («угон BGP») в цепочке записей в Twitter.
BGP (Border Gateway Protocol) — это протокол динамической маршрутизации, который является де-факто системой, используемой для распределения трафика между интернет-сетями по всему миру. Вся система чрезвычайно хрупкая, потому что любая из участвующих сетей может просто «лгать» и публиковать «объявление» (маршрут BGP), утверждающее, что, например, «серверы Facebook (Социальная сеть признана экстремистской и запрещена на территории Российской Федерации)» находятся в их сети, и все компьютеры в глобальной сети будут считать отправлять весь трафик для этой соцсети на серверы угонщика.
В прежние времена, до того как HTTPS широко использовался для шифрования трафика, «угон BGP» позволял злоумышленникам выполнять атаки «человек посередине» (MitM) и перехватывать или изменять интернет-трафик. В настоящее время взломы BGP по-прежнему опасны, поскольку позволяют «угонщику» регистрировать трафик, анализировать и расшифровывать его на мощных компьютерах.
Взломы BGP были проблемой для интернет-магистрали с середины 90-х годов, и усилия по укреплению безопасности протокола BGP предпринимались годами, с такими проектами, как ROV, RPKI и, совсем недавно, MANRS. Тем не менее, прогресс в принятии этих новых протоколов был медленным, и «угоны BGP» продолжают происходить на регулярной основе.
Например, в ноябре 2018 года небольшой нигерийский интернет-провайдер перехватил трафик, предназначенный для сети Google, а в июне 2019 года большая часть европейского мобильного трафика была перенаправлена через China Telecom, государственный и крупнейший оператор связи Китая. В прошлом эксперты неоднократно отмечали, что не все случаи «угона BGP» являются намеренными. Большинство инцидентов могут быть результатом того, что сотрудник провайдера неправильно набрал номер ASN (номер автономной системы, код, по которому идентифицируются интернет-объекты) и случайно похитил интернет-трафик этой компании.
Тем не менее, некоторые организации по-прежнему регулярно следят за «угонами BGP», а также за инцидентами, которые многие эксперты называют подозрительными, предполагая, что это не просто несчастные случаи. China Telecom в настоящее время считается крупнейшим преступником на этом фронте. Несмотря на то, что Ростелеком (AS12389) не замечен в столь же масштабных «угонах BGP», как China Telecom, он также стоит за многими аналогичными подозрительными инцидентами.
Последний крупный «угон» Ростелекома, произошел в 2017 году, когда телекоммуникационная компания «похитила» маршруты BGP для некоторых крупнейших мировых финансовых организаций, включая Visa, Mastercard, HSBC. В то время подразделение Cisco BGPMon охарактеризовало этот инцидент как «любопытный», поскольку он, по-видимому, влиял только на финансовые услуги, а не на случайные ASN.
Как отмечают многие интернет-эксперты, преднамеренный «угон BGP» может выглядеть как случайность, и доказать злой умысел очень трудно.