Groźny sieciowy incydent z udziałem rosyjskiego telecoma

W zeszłym tygodniu Internecie doszło do ciekawego oraz dość tajemniczego wydarzenia. W pewnym momencie ruch generowany przez ponad 200 podmiotów CDN (Cloud Hosting Provider, dostawcy treści sieciowych) i firm obsługujących chmury został nagle w dziwny sposób przekierowany do Rosji.

Stało się to tak, ponieważ pewna część ruchu internetowego została źle obsłużona przez rosyjskiego, państwowego dostawcę usług telekomunikacyjnych Rostelecom, który przekierował go właśnie w ten sposób. Według pierwszych doniesień był to ruch zebrany z ok. 9 tysięcy połączeń internetowych obsługiwanych przez ponad 200 sieci.

Wiadomo już, że ofiarą takiego działania padł ruch internetowy generowany przez takie tuzy przemysłu IT, jak Google, Amazon, Facebook, Akamai oraz Cloudflare. Jak dotąd trudno na sto procent powiedzieć, czy był to błąd systemu IT będącego w gestii Rostelecomu, czy też celowe działanie.

Zobacz również:

Znawcy problemu określi jednak incydent jak klasyczny przykład włamania wykorzystującego technikę "BGP hijack." BGP to internetowy protokół Border Gateway Protocol, który odpowiada za proces wymiany całego ruchu internetowego między poszczególnymi sieciami na całym świecie. Protokół ten jest słabo zabezpieczony, dlatego nie jest odporny na różnego rodzaju włamania.

Wiele lat temu, jeszcze przed pojawieniem się protokołu HTTPS, który jest obecnie używany do szyfrowania ruchu, hakerzy wykorzystywali słabości protokołu BGP, przeprowadzając często ataki typu MitM (Man-in-the-Middle), przechwytując w ten sposób ruch internetowy i kierując go np. do swoich podstawionych serwerów.

Dzisiaj jest to dużo trudniejsze (gdyż cały ruch jest już szyfrowany), ale jak widać dalej możliwe, czego przykładem jest być może właśnie ten incydent.


TOP 200