Китайский государственный провайдер перехватывал интернет-трафик из США и Канады

Случаи такого перехвата, которые осуществляла China Telecom в рамках масштабной операции по кибершпионажу и краже интеллектуальной собственности, фиксировались в течение нескольких лет.

Китайская государственная телекоммуникационная компания China Telecom на регулярной основе осуществляет перехват и перенаправление в Китай интернет-трафика, направляемого или проходящего через США и Канаду в рамках масштабной операции по кибершпионажу и краже интеллектуальной собственности, следует из доклада специалистов Военно-морского колледжа США и Тель-Авивского университета (Израиль).

С помощью разработанной ими системы мониторинга BGP анонсов специалисты выявили многочисленные случаи перехвата интернет-трафика, проведенного China Telecom в последние несколько лет. К примеру, в 2016 году компания перенаправила трафик правительственных сетей в Канаде и Южной Корее на свои точки присутствия (Point of presence, POP) в Торонто. Далее трафик был перенаправлен на POP China Telecom на Западном побережье США, а оттуда в Китай и Южную Корею. В 2017 году компания перехватила трафик между Японией и Скандинавией, проходящий через территорию США и отправила его на почтовый сервер, принадлежащий крупной тайваньской финансовой организации.

После копирования трафика для его дальнейшей расшифровки и изучения China Telecom «возвращает» трафик в сети лишь с небольшой задержкой, отмечается в докладе. Подобные инциденты довольно сложно обнаружить, поскольку China Telecom владеет многочисленными точками присутствия (место расположения оборудования оператора связи (провайдера), к которому возможно подключение клиентов) в Северной Америке и Европе, располагающимися в непосредственной близости от целевых сетей, в результате задержки в потоке трафика практически незаметны, несмотря на то, что он проходит по более длинному маршруту.

В свою очередь, Китай запрещает иностранным операторам связи и провайдерам размещать POP на своей территории, таким образом защищая внутренний и транзитный трафик от перехвата.

В 2015 году США и Китай договорились не совершать кибератаки друг на друга, однако данное соглашение не распространяется на перехват интернет-трафика, указывают эксперты. Выходом из положения может стать установление политики так называемого «взаимного доступа» (access reciprocity) в отношении точек присутствия провайдеров, расположенных на территории других государств. Подобная политика может быть включена в таблицы маршрутизации BGP, считают авторы доклада.

China’s Maxim – Leave No Access Point Unexploited: The Hidden Story of China Telecom’s BGP Hijacking (.pdf, 2018; by Chris C. Demchak / U.S. Naval War College, and Yuval Shavitt / Tel Aviv University) https://t.co/lra23w3XeR /c @paulducheine @_cryptome_ @atoonk

— Matthijs R. Koot (@mrkoot) October 22, 2018

Под BGP-хакингом подразумеваются определённые действия с маршрутизацией, облегчающие перехват нужного вам трафика. АНБ называет это «формированием сети» или «формированием трафика».

Часто такие случаи являются инцидентами, вызванными сбоями в протоколе BGP, и происходят они из-за ошибок конфигурации, разрешаемыми в течение считанных минут, максимум — часов. Но некоторые сети, которые захватывают маршруты с помощью BGP-хакинга, отправляют законный трафик через вредоносные серверы для перехвата информации, фишинговых атак, кражи паролей или записи HTTPS-шифрованного трафика, чтоб впоследствии попытаться его расшифровать, используя криптографические атаки, такие как DROWN или Logjam.

Читайте также:

Google призвали не сотрудничать с китайской цензурой
?
Гаджеты на службе разведок
?
Dark Caracal: новая кампания по кибершпионажу, охватившая тысячи устройств по всему миру
?
ФСБ настаивает на расширении понятия «шпионских» устройств