BGP HIJACKING

Trafico de google facebook y microsoft es enrutado a traves de Rusia

La semana del 11 de diciembre un evento sospechoso enruta el tráfico de las principales compañías de tecnología (es decir, Google, Facebook, Apple y Microsoft) a través de un proveedor de Internet de Rusia hasta ahora desconocido. El hecho ocurrió el miércoles 13 de diciembre, los investigadores creen que lo investigó el tráfico fue secuestrado intencionadamente.

El incidente involucró Border Gateway Protocol de Internet que se utiliza para enrutar el tráfico entre redes troncales de Internet, ISP, y otras grandes redes.

Un incidente similar ocurrió hace ocho meses cuando una gran cantidad de tráfico que pertenece a MasterCard y Visa, y más de dos docenas de servicios financieros se encaminan brevemente a través de un operador de telecomunicaciones controlada por el gobierno ruso.

“Temprano por la mañana (GMT) nuestros sistemas detecta un evento sospechoso donde muchos prefijos para destinos de alto perfil fueron anunciados por un Sistema Autónomo rusa no utilizada. Comenzando a las 04:43 (UTC) 80 prefijos anuncian normalmente por organizaciones como Google, Apple, Facebook, Microsoft, Twitch, NTT Communications y Riot Games ahora se detectaron en las tablas de enrutamiento BGP globales con un origen como de 39523 (DV-LINK- AS), de Rusia.”establece una entrada de blog publicada por el servicio de vigilancia por BGPMon.

“En cuanto a la línea de tiempo podemos ver dos ventanas de eventos de aproximadamente tres minutos cada uno. La primera de ellas comenzó a las 04:43 GMT y terminó a las 04:46 GMT. El segundo evento se inició 07:07 GMT y terminó a las 07:10 GMT.

A pesar de que estos eventos fueron relativamente de corta duración, Que fueron significativas, ya que fue recogido por un gran número de compañeros y debido a varios prefijos más específicos nuevos que normalmente no se ven en Internet. Así que vamos a profundizar un poco más. “
BGPMon observó dos eventos distintos para un total de seis minutos que afectaron a 80 bloques de direcciones separadas.

Otro de los servicios de vigilancia, Qrator Labs, declaró el evento duró dos horas durante las cuales el número de bloques de direcciones secuestrados varió de 40 a 80.

BGPMon expertos consideran el hecho como sospechoso por las siguientes razones:

  • El tráfico reencaminado pertenecía a las grandes compañías de tecnología.
  • Direcciones IP secuestrados pertenecen a los bloques pequeños y específicos que no' normalmente se ven en Internet.
“Lo que hace que este incidente es sospechoso los prefijos que se vieron afectados son todos los destinos de alto perfil, así como varios prefijos más específicos que normalmente no se ven en Internet. Esto significa que este no es un escape simple, pero alguien está insertando intencionadamente estos prefijos más específicos, posiblemente con la intención de atraer el tráfico.”, Continúa el análisis de BGPMon.
El secuestro BGP fue causado por un sistema autónomo que se encuentra en Rusia, que añade entradas a las tablas BGP afirmando que era el origen legítimo de los 80 prefijos afectados. Esta afirmación causó grandes cantidades de tráfico enviado y recibido por las empresas afectadas a pasar por el ruso como 39523 antes de ser enrutada a su destino final.

A continuación la lista de los proveedores de Internet que recogían la nueva ruta:

  • xx 6939 31133 39523 (camino a través de Hurricane Electric)
  • xx 6461 31133 39523 (path via Zayo)
  • xx 2603 31133 39523 (path via Nordunet)
  • xx 4637 31133 39523 (path via Telstra)
AS39523 es un sistema autónomo no utilizada anteriormente que no ha estado activo en años, pero en los titulares en agosto cuando fue involucrado en otro incidente que involucró BGP Google .
“Todo lo que causó el incidente de hoy, es otro claro ejemplo de lo fácil que es para el tráfico de modificar el trazado de 3 partes, intencionalmente o por accidente. También es un buen recordatorio para todos los ISP importante para filtrar los clientes.” Concluyó BGPMon.

“Este secuestro pone de relieve un problema común que surge debido a la falta de filtrado de ruta. Podemos culpar AS39523 por el accidente, pero que no esté adecuadamente filtros a los proveedores de transporte intermedios límites estamos condenados a ver incidentes similares una y otra vez. Nos gustaría animar a todas las redes implicadas en este incidente para revisar su estrategia de filtrado de ruta, y por lo menos implementar filtros BGP basado en el prefijo de todas las interconexiones hacia sus clientes.” Concluyó Qrator Labs.


Fecha actualizacion el 2017-12-18. Fecha publicacion el 2017-12-18. Categoria: Hackers. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
Malware android Loapi