Mystisk internet-hændelse: trafik til store netsteder blev routet via Rusland

Illustration: Sergey Nivens/Bigstock
Såkaldt BGP hijacking vil en dag måske blive anvendt til afpresning af specifikke virksomheder, ligesom det er set med DDoS-angreb, anfører Version2-blogger

Tidligt onsdag i sidste uge opdagede man mindst to mistænkelige tilfælde, hvor den globale internettrafik til 80 virksomheder eller hjemmesider, herunder Google, Apple, Facebook, Microsoft, Twitch, NTT Communications og Riot Games, blev sendt via en russisk aktør.

Ifølge BGPmon skete det i to perioder, der begge varede i tre minutter. Qrator Labs oplyser imidlertid, at de to perioder kun var toppen af en hændelse, der i alt tog mere end to timer.

Som mange Version2 læsere bekendt anvendes Protokol BGP (Border Gateway Protocol) til at route trafik mellem internetudbydere.

Det er dog ikke ualmindeligt at der opstår fejl eller BGP lækager på grund af konfigurationsfejl.

Men det der skete i forgårs angives til at være en cyberkriminel handling, altså en kapring.

Baggrunden for denne konklusion er, at dels at kapringen kun gik ud over store internetaktører med meget trafik, og at de blokke af IP-adresser, der blev re-dirigeret, er nye og har mere specifikke præfikser (IP-adresser med CIDR notation – fx 192.168.1.0/24 – hvor det sidste tal angiver angiver blokstørrelsen) som ikke er helt almindelige.

Men også, at den pågældende angriber – kaldt et Autonomous System (AS) og angivet som ‘Origin AS of 39523 (DV-LINK-AS)' – ikke har annonceret nogen præfikser i mange år, hvis man lige ser bort fra et tilfælde.

Stater kan finde på at hijacke

»Problemet med hijacking af trafik opstår, fordi BGP som alle andre internet-protokoller er opstået i en tid, hvor man på internettet stolede på hinanden,« forklarer Yoel Caspersen, der er blogger på Version2 og direktør for bredbåndsudbyderen Kviknet.

»Hvor det i gamle dage primært var uheldige fejl, der spredte sig, kan man i dag forestille sig, at visse aktører, herunder statslige aktører, kan finde på at anvende hijacking til spionage,« siger han.

Status ifølge ham er, at store dele af internettet er meget sårbart over for hijacking via BGP.

Eksempelvis kan det være regeringer, som ønsker at vide, hvem der kommunikerer med en specifik IP-adresse tilhørende et website i USA.

Ved at hijacke trafikken til websitets IP-adresse, får man i et kort øjeblik mulighed for at agere man-in-the-middle.

Er der tale om et stort website, vil angriberen som minimum kunne se, hvilke IP-adresser websitet kommunikerer med, og hvis websitet anvender sårbare protokoller som fx HTTP uden kryptering, er det også muligt at opsnappe session-data og passwords.

Samtidig kan en nålestiksoperation gemme sig i mængden, hvis der er mange IP-adresser, der bliver hijacket samtidig.

»Det er også en mulighed, at BGP hijacking en dag vil blive anvendt til afpresning af specifikke virksomheder, ligesom det er set med DDoS-angreb,« siger Yoel Caspersen.

Men angribene kan også anvendes til at lægge dele af nettet ned for et helt land.

Øjebliksbilede, som viser at en stor del af trafikken bliver routet til det lille AS (Autonomous System) 39523, som er knyttet til AS 31133, som er den russiske mobiloperatør PJSC MegaFon. Illustration: BGPmon

På trods af, at gårsdagens hændelse var relativt kortvarig, anses den som alvorlig, fordi annonceringen til den russiske aktører, som ikke er yderligere identificeret, blev accepteret af en lang række andre aktører, herunder nogle virkelig store: Level3, Cogent, Zayo, Hurricane Electric, NORDUnet og Telstra.

Manglende filtrering

»Kapringer kaster lys på et fælles problem, der opstår på grund af manglende filtrering. Vi kan give AS39523 skylden for hændelsen, men uden velegnede filtre hos de mellemliggende transitudbydere vurderer vi, at lignende begivenheder kan ske igen og igen,« skriver Qrator Labs.

Hos mange af de amerikanske internetudbydere som fx Cogent, Comcast og Hurricane Electric skal de enkelte kunder med eget AS-nummer selv oplyse, hvilke IP-adresser, de ønsker at annoncere.

»Vi opfordrer alle netværk, der var ramt af angrebet, til at gennemgå deres rutefiltreringsstrategier og under alle omstændigheder implementere præfiksbaserede BGP-filtre på alle forbindelser til deres kunder,« lyder det.

En løsning til filtrering kan ifølge Yoel Caspersen være såkaldt RPKI (Resource Public Key Infrastructure), hvor den enkelte internetudbyder anvender certifikater og ROA (Route Origination Authorizations) til at bestemme, hvem der må annoncere internetudbyderens IP-adresser.

RPKI virker kun på de routere, som selv er konfigureret til at filtrere efter RPKI, og eftersom det er frivilligt for de enkelte internetudbydere at implementere RPKI, er der mange routere derude, som ikke tager hensyn til dette.

En anden form for filtrering, som en internetudbyder kan etablere, er at anvende prefix-lister, der fortæller, hvilke routes man vil acceptere fra sine kunder med eget AS-nummer.

»Udfordringen er at bygge en sådan prefix-liste, da den både skal indeholde kundernes IP-adresser men også kundernes kunders IP-adresser – dvs. det bliver meget hurtigt uoverskueligt at vedligeholde den slags manuelt, især hvis man kommer langt op i hierarkiet på internettet,« siger han.

Den danske internetudbyder GlobalConnect anvender RIPE-databasen til at filtrere kundernes BGP-annonceringer.

»Det er mig bekendt ikke særlig udbredt, selv om det oplagt er en god ide,« siger Yoel Caspersen.

Det er imidlertid kun tier 2 og tier 1-udbydere, som kan løse problemet.

Tier 3-udbydere, som har eget AS-nummer, men ikke formidler trafik for andre udbydere, som også har deres eget AS-nummer, kan godt være en del af problemet, men ikke en del af løsningen.

Dele af denne artikel stammer fra norske digi.no

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Nykær

"Den danske internetudbyder GlobalConnect anvender RIPE-databasen til at filtrere kundernes BGP-annonceringer.

»Det er mig bekendt ikke særlig udbredt, selv om det oplagt er en god ide,« siger Yoel Caspersen."

Jooo - det er temmeligt udbredt blandt de store/mellemstore ISPs. IRRtoolset, (med rtconfig) som generere prefix-lists til filteringen har en del år på bagen - og blev flyttet til ISC i 2004.

https://www.isc.org/downloads/projects/
GIT her: https://github.com/irrtoolset/irrtoolset

  • 3
  • 0
Michael Cederberg

Så må det da være rimeligt trivielt at gennemskue, hvem der har lyttet. Det må så være dem der leverer forbindelse til den udbyder eller ?

Jeg gætter på at det har været som at drikke fra en brandslange - ret store mængder data. Det har været et sofistikeret setip. Under alle omstændigheder er de eneste der kan bruge den slags data storkriminelle eller stater. Ingen af dem efterlader sig brugbare spor i den slags sager ...

Det er i øvrigt ikke første gang den slags traffik på mystisk vis er endt i Rusland.

  • 0
  • 0
Kjeld Flarup Christensen

Under alle omstændigheder er de eneste der kan bruge den slags data storkriminelle eller stater. Ingen af dem efterlader sig brugbare spor i den slags sager ...


I dette tilfælde peger sporet altså på Rusland. Den her slags angreb kan være svære at gøre anonyme.
Så skal man i hvert fald have kontrol over et datacenter i udlandet hvis man er en stat, og den kontrol skal være anonym.

  • 0
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize