Как Ростелеком ошибочно перенаправлял траффик Google, AWS, Cloudflare и др

Ранее на этой неделе (1-5 апреля’20) трафик, предназначенный для более чем 200 крупнейших в мире CDN и облачных провайдеров, был подозрительно перенаправлен через Ростелеком (главный телекоммуникационный провайдер России)

Инцидент затронул более 8 800 маршрутов интернет-трафика из 200+ сетей и продолжался около часа.

Затрагиваемые компании — это те, кто есть кто на рынке облачных технологий и CDN, включая такие громкие имена, как Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner и Linode.

Технические детали

Инцидент является классическим «BGP hijack».

BGP расшифровывается как Border Gateway Protocol и является де-факто системой, используемой для маршрутизации интернет-трафика между интернет-сетями по всему миру.

Вся система интернет-маршрутизации до сих пор чрезвычайно хрупкая, потому что любая из участвующих сетей может просто «лгать» и публиковать объявление (маршрут BGP), утверждающее, что «серверы Facebook» находятся в их сети, и многие провайдеры будут считать его законным и отправлять весь Facebook трафик на серверы «обманщика».

Экскурс в историю

В прежние времена, до того как HTTPS широко использовался для шифрования трафика, BGP хакеры позволяли злоумышленникам выполнять атаки «человек посередине» и перехватывать/изменять интернет-трафик.

В настоящее время взломы BGP по-прежнему опасны, поскольку позволяют злоумышленнику регистрировать трафик, анализировать и расшифровывать его позднее, когда шифрование, используемое для его защиты, ослабло из-за достижений в области криптографии.

Взломы BGP были проблемой для интернет-магистрали с середины 90-х годов, и усилия по укреплению безопасности протокола BGP предпринимались годами, с такими проектами, как ROV, RPKI и, совсем недавно, MANRS.

Тем не менее, прогресс в принятии новых протоколов медленный, и подмены BGP продолжают происходить на регулярной основе.

Например, в ноябре 2018 года небольшой нигерийский интернет-провайдер перехватил трафик, предназначенный для сети Google, а в июне 2019 года большая часть европейского мобильного трафика была перенаправлена через China Telecom, государственный и крупнейший оператор связи Китая.

Ростелеком — неоднократный нарушитель

В прошлом эксперты неоднократно отмечали, что не все «угонщики» BGP действовали целенаправлено. Большинство инцидентов могут быть результатом человеческого фактора: оператор опечатался при наборе номеров ASN (код, по которому идентифицируются интернет сущности) и случайно похитил интернет-трафик этой компании.

Тем не менее, организации которые регулярно следят за угонами BGP, а также за инцидентами, которые многие эксперты называют подозрительными, предполагают, что часто это не просто случайные ошибки.

China Telecom в настоящее время считается крупнейшим преступником на этом фронте [1, 2].

Несмотря на то, что Ростелеком (AS12389) не участвует в «угонах» BGP, таких же распространенных, как China Telecom, он также стоит за многими аналогичными подозрительными инцидентами.

Последний крупный угон «Ростелекома» произошел в 2017 году, когда были подменены маршруты BGP для нескольких крупнейших мировых финансовых организаций, включая Visa, Mastercard, HSBC и многие другие.

В то время подразделение Cisco BGPMon охарактеризовало этот инцидент как «любопытный», поскольку он, по-видимому, влиял только на финансовые услуги, а не на случайные ASN.

На этот раз все неоднозначно: основатель BGPMon Andree Toonk сомневается в целенаправленности российского операторв и в своем твиттере сказал, что «взлом» произошел после того, как внутренняя подсистема управлением трафиком Ростелекома могла случайно раскрыть неправильные маршруты BGP в общедоступном Интернете, а не во внутренней сети Ростелекома.

По ситуации в целом

Как отмечали многие интернет-эксперты в прошлом, преднамеренный угон BGP может выглядеть как случайная ошибка, и никто не может заметить разницу.

Похищения BGP, происходящие в контролируемых государством телекоммуникационных организациях в таких автократических странах, как Китай и Россия, всегда будут считаться подозрительными — в первую очередь из-за политики, а не по техническим причинам.

Еще ссылки:
подробней об этой утечке маршрутов от 2 апреля: habr.com/ru/company/qrator/blog/495274
реация в сми и ответ Ростелекома: tjournal.ru/news/156008-zhurnalist-poprosil-rostelekom-obyasnit-peregruzku-seti-iz-za-karantina-press-sluzhba-otvetila-emu-a-potom-oskorbila
tech.slashdot.org/story/20/04/07/0018229/russian-telco-hijacked-internet-traffic-of-google-aws-cloudflare-and-others