28 April 2017

Интернет-трафик Visa, MasterCard и десятков других компаний подвергся стороннему вмешательству в России

Десятки крупных финансовых и телекоммуникационных компаний оказались затронуты подозрительным манипулированием трафика со стороны Ростелекома.

26 апреля большие массивы сетевого трафика, принадлежащие MasterCard, Visa и более чем двум десяткам других компаний, предоставляющих в большей степени различные финансовые услуги при необъяснимых обстоятельствах были направлены через контролируемый российским правительством телекоммуникационный канал.

Аномалии в протоколе BGP (Border Gateway Protocol, протокол граничного шлюза), который маршрутизирует большие объемы трафика между интернет-магистралями, интернет-провайдерами и другими крупными сетями, чаще всего возникают в результате человеческой ошибки. 

Инцидентом заинтересовались инженеры службы сетевого мониторинга BGPmon, которые опубликовали список организаций, сети которых оказались затронуты:

Below the list of affected networks (other Rostelecom networks excluded)

 AS     Autonomous System Name      
  49002  Federal State Unitary Enterprise Russian
   3561  Savvis
  41268  LANTA Ltd
   2559  Visa International
   8255  Euro-Information-Europeenne de Traitemen
  31627  Servicios Para Medios De Pago S.A.
    701  MCI Communications Services, Inc. d/b/a
   3259  Docapost Bpo SAS
   3303  Swisscom (Switzerland) Ltd
   3741  IS
   5553  State Educational Institution of Higher
   5630  Worldline SA
   8291  The Federal Guard Service of the Russian
   8677  Worldline SA
   9162  The State Educational Institution of Hig
   9221  HSBC HongKong
   9930  TIME dotCom Berhad
  11383  Xand Corporation
  12257  EMC Corporation
  12578  SIA Lattelecom
  12954  SIA S.p.A.
  15468  38, Teatralnaya st.
  15632  JSC Alfa-Bank
  15742  PJSC CB PrivatBank
  15835  ROSNIIROS Russian Institute for Public N
  15919  Servicios de Hosting en Internet S.A.
  18101  Reliance Communications Ltd.DAKC MUMBAI
  25410  Bank Zachodni WBK S.A.
  26380  MasterCard Technologies LLC
  28827  Fortis Bank N.V.
  30060  VeriSign Infrastructure & Operations
  34960  Netcetera AG
  35469  Ojsc Bank Avangard
  50080  Provus Service Provider SA
  50351  card complete Service Bank AG
  61100  Norvik Banka AS
200163  Itera Norge AS

.

Способ перенаправления некоторых затронутых сетей показал, что их базовые префиксы были вручную вставлены в таблицы BGP. Эксперты из BGPmon заявляют, что это мог сделать кто-то из «Ростелекома», контролируемой российским правительством телекоммуникационной компании, которая неправильно объявила о своей собственности на блоки.

«Я бы классифицировал это как весьма подозрительное. Типичная причина этих ошибок — это своего рода внутренняя транспортная инженерия, но было бы странно, что кто-то ограничил бы их трафик в основном финансовыми сетями», — сказал Дуг Мадори, директор по интернет-анализу в компании по управлению сетью Dyn, передает Ars Technica.

Обычно сетевой трафик, связанный с MasterCard, Visa и другими пострадавшими компаниями, проходит через поставщиков услуг, которые компании нанимают и авторизуют. Используя таблицы маршрутизации BGP, авторизованные поставщики «объявляют своими» большие блоки IP-адресов, принадлежащих компаниям-клиентам. Однако в среду 26 апреля днем около 3:36 по тихоокеанскому времени, Ростелеком внезапно объявил о своем контроле над блоками. В результате трафик, поступающий в затронутые сети, начал проходить через маршрутизаторы Ростелекома. “Угон” длился пять-семь минут. Когда все было закончено, нормальная маршрутизация была восстановлена. Событие прекрасно отражено в графике.

Угон мог позволить неким людям в России перехватывать или манипулировать трафиком, поступающим в данное адресное пространство. Такой перехват или манипулирование было бы легче всего выполнить для данных, которые не были зашифрованы, но даже в случаях, когда они были зашифрованы, трафик все равно может быть расшифрован в отдельных случаях с использованием атак с такими именами, как Logjam и DROWN, которые работают против устаревших реализаций безопасности транспортного уровня, используемых некоторыми организациями.

Мадори обратил внимание, что даже если данные не могут быть дешифрованы, злоумышленники могут потенциально использовать переадресованный трафик, чтобы определить, какие стороны инициировали подключения к MasterCard и другим затронутым компаниям. Нападавший может затем напасть на те стороны, которые могут иметь более слабую защиту.

Должностные лица «Ростелекома» не ответили на запрос по электронной почте с просьбой прокомментировать данный инциндент.

Как Мадори, так и эксперты BGPmon оставляют открытой возможность того, что угон был непреднамеренным.

Случаи намеренного же перенаправления трафика BGP случались и ранее. В 2013 году Renesys, позднее приобретенный Dyn, сообщил, что огромные порции интернет-трафика, принадлежащие финансовым учреждениям, правительственным учреждениям и поставщикам сетевых услуг, неоднократно перенаправлялись в отдаленные районы, прежде чем, наконец, были переданы в их конечный пункт назначения. За девятимесячный период исследователи Renesys подсчитали 38 отклонений в маршрутизаторах белорусских или исландских поставщиков услуг. Эти хаки повлияли на «крупные финансовые учреждения, правительства и поставщиков сетевых услуг» в США, Южной Корее, Германии, Чехии, Литве, Ливии и Иране.

Справка:
BGP (англ. Border Gateway Protocol, протокол граничного шлюза) — динамический протокол маршрутизации. Относится к классу протоколов маршрутизации внешнего шлюза (англ. EGP — External Gateway Protocol).На текущий момент является основным протоколом динамической маршрутизации в сети Интернет. Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС, англ. AS — autonomous system), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляется исходя из правил, принятых в сети (Википедия)

Читайте также:

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.