Zagadkowy atak hakerski kieruje uwagę na telecom Rosji

28 kwietnia 2017, 14:00 Alert

Rosyjski telecom atakuje instytucje finansowe. Visa, MasterCard, Symantec i wiele innych dużych, znanych przedsiębiorstw w różnych krajach padło ofiarą podejrzanego dziwnego zdarzenia – czytamy w serwisie arstechnica.com.

Haker

W minioną środę duża część ruchu internetowego MasterCard, Visy i wielu innych instytucji finansowych na całym świecie została chwilowo przekierowana do sieci rosyjskiego operatora telekomunikacyjnego Rostelecom. Przyczyny nie są na razie znane. Przypadek ten wywołuje na nowo uporczywe pytania o wiarygodność w jednej z najbardziej wrażliwych dziedzin związanych z nowoczesnymi technologiami.

Anomalie w ramach Border Gateway Protocol (BGP), czyli zewnętrznego protokołu trasowania (routingu), który odpowiada za ruch internetowy na wielką skalę, nie są oczywiście niczym nadzwyczajnym, albowiem biorą się z ludzkich błędów. Być może środowe 5-7-minutowy zdarzenie nie było zamierzone. Ponieważ jednak dotknęło wielkie instytucje finansowe, wzbudziło podejrzenia inżynierów służb monitorowania sieci wyspecjalizowanej firmy BGPmon. Zwłaszcza że sposób, w jaki ruch był przekierowywany, wskazywał, że prefiksy sieciowe były wprowadzane ręcznie, prawdopodobnie przez pracownika Rostelecomu.

Można powiedzieć, że to było podejrzane – powiedział serwisowi arstechnica.com Doug Madory, dyrektor działu analizy internetu w firmie Dyn. Typowe przypadkowe przecieki wyglądają bowiem całkiem inaczej (są bardziej pojemne). Ten przypadek był prawdopodobnie atakiem skierowanym przeciwko instytucjom finansowym.

Normalnie ruch sieciowy MasterCard, Visy i pozostałych zaatakowanych instytucji odbywa się za pośrednictwem serwis dostawców, z którymi te przedsiębiorstwa współpracują, a więc oczywiście autoryzują. Stosując tablice routingu BGP, ci dostawcy używają adresów IP należących do ich klientów. Tymczasem w środę po południu (około 15.36 w strefie czasowej Pacyfiku) Rostelecom kontrolował nieswoje bloki. W rezultacie ruch przechodzący przez zaatakowane sieci zaczął trafiać do routerów tego operatora. Atak trwał 5-7 minut. Gdy się skończył, został przywrócony tradycyjny routing.

Atak mógł pozwolić osobom zainteresowanym w Rosji na przechwycenie informacji lub manipulowanie ruchem w inny sposób. Dotyczy to szczególnie danych, które nie są zaszyfrowane. Ale nawet w przypadku danych szyfrowanych, mogły one zostać odszyfrowane w atakach Logjam lub DROWN (chodzi o przestarzałą warstwę transportową, która jest ciągle w użytku). Doug Madory powiedział, że nawet jeśli dane nie mogły być odszyfrowane, atakujący mogli teoretycznie zastosować ruch odwrócony, by stwierdzić, kto inicjował połączenia z MasterCard i pozostałymi przedsiębiorstwami. Haker mógł wtedy zaatakować te firmy, które mają słabsze systemy obronne.

Według informacji dla inwestorów dostarczanych przez Rostelecom, rosyjski rząd ma 49 procent zwykłych akcji operatora. Natomiast amerykański Departament Handlu uznaje Rostelecom za przedsiębiorstwo państwowe. Według tych danych co najmniej jeden wysoki przedstawiciel rządu zasiada w radzie dyrektorów. Władze operatora nie odpowiedziały serwisowi na email z pytaniem w tej sprawie.

Mieczysław Starkowski