Трафик крупнейших техкомпаний был временно перенаправлен в Россию

Служба интернет-мониторинга BGPmon сообщила о подозрительном инциденте, в ходе которого 80 IP-префиксов для ряда крупных компаний, таких как Google, Microsoft, Apple, Facebook, NTT Communications, Twitch, Riot Games и пр., были анонсированы ранее неиспользуемой российской автономной системой (AS).

12 декабря 2017 года было зафиксировано два краткосрочных инцидента, каждый из которых длился 3 минуты. По словам экспертов, несмотря на непродолжительность, данные инциденты являются довольно значительными, поскольку весь целевой трафик был связан с крупными организациями.

Анонсирование было замечено крупными интернет-провайдерами, такими как Hurricane Electric и Zayo в США, Telstra в Австралии и NORDUnet в скандинавских странах.

Как пояснили эксперты, подобного анонсирования от российских AS не было уже несколько лет до этого инцидента. В ходе инцидентов были затронуты назначения высокого профиля, а также несколько специфических префиксов, обычно не фигурирующих в интернете, что может говорить о намеренном перенаправлении трафика. По словам эксперта безопасности Криса Моралеса (Chris Morales), возможность манипулирования протоколом маршрутизации BGP для выполнения атак "человек посередине" (man-in-the-middle, MitM), также говорит о возможности манипулирования шифрованием TLS/SSL для прослушки пользователей.

BGP (Border Gateway Protocol) - протокол, используемый для обмена передаваемой информацией между независимыми сетями в интернете, также известными как автономные системы (AS). Протокол определяет наиболее эффективный маршрут между сетями. Каждая AS анонсирует список IP-адресов, так называемых префиксов, и делится данными с одноранговыми узлами для определения наиболее эффективного пути.

Источник