Investigadores de seguridad revelaron en un documento reciente que en los últimos años, China Telecom utilizó el secuestro de BGP para desviar el tráfico de Internet a través de China.
Los investigadores de seguridad Chris C. Demchak y Yuval Shavitt revelaron en un artículo reciente que, en los últimos años, China Telecom ha estado dirigiendo mal el tráfico de Internet a través de China.
China Telecom era una marca de la corporación estatal de telecomunicaciones de China, pero después de la comercialización de la empresa, se separaron de la marca y de las compañías operativas como un grupo separado.
China Telecom está actualmente presente en redes norteamericanas con 10 puntos de presencia (PoPs) (ocho en los Estados Unidos y dos en Canadá), que abarcan los principales puntos de intercambio.
Los dos investigadores señalaron que la compañía de telecomunicaciones aprovecha los PoPs para secuestrar el tráfico a través de China, esto ha sucedido varias veces en los últimos años,
Según los expertos, la actividad pasó inadvertida durante mucho tiempo, pero para comprender mejor cómo es posible secuestrar el tráfico, lea este extracto del periódico:
"Dentro de las tablas de reenvío de BGP, los administradores de cada AS anuncian a sus vecinos de AS los bloques de direcciones IP que posee su AS, ya sea para usarlos como destino o como un conveniente nodo de tránsito", indica el documento.
“Los errores pueden ocurrir dada la complejidad de la configuración de BGP, y estos posibles errores ofrecen a los actores encubiertos una serie de oportunidades de secuestro. Si la red AS1 anuncia erróneamente a través de su BGP que posee un bloqueo de IP que en realidad es propiedad de la red AS2, el tráfico de una parte de Internet destinada a AS2 se enrutará a través de AS1. Si el anuncio erróneo se arregló maliciosamente, se produjo un secuestro de BGP ".
El 8 de abril de 2010, China Telecom secuestró el 15% del tráfico de Internet durante 18 minutos, los expertos especulan que fue un experimento a gran escala para controlar los flujos de tráfico.
El incidente también afectó los sitios web del gobierno de los Estados Unidos ('' .gov '') y militares ('' .mil '').
Muchos otros casos similares fueron reportados por los expertos a lo largo de los años, en diciembre de 2017, el tráfico para Google, Apple, Facebook, Microsoft y otros gigantes tecnológicos enviados a través de Rusia, también en este caso los expertos especularon que fue un secuestro BGP intencional.
De acuerdo con el trabajo de investigación, China Telecom utilizó numerosos PoPs para secuestrar el tráfico nacional de los EE. UU. Y cruzar el flujo a China en días, semanas y meses.
"Los patrones de tráfico revelados en la investigación de traceroute sugieren ataques de secuestro de IP repetitivos cometidos por China Telecom", continúa la investigación.
"Si bien se puede argumentar que tales ataques siempre pueden explicarse por un comportamiento BGP 'normal', estos en particular sugieren intenciones maliciosas, precisamente debido a sus características de tránsito inusuales, a saber, las rutas alargadas y las duraciones anormales".
En febrero de 2016, otro ataque secuestró el tráfico de Canadá a los sitios web del gobierno coreano a China en lo que se define como un escenario perfecto de espionaje cibernético a largo plazo.
“A partir de febrero de 2016 y durante aproximadamente 6 meses, las rutas de Canadá a los sitios del gobierno coreano fueron secuestradas por China Telecom y enrutadas a través de China. La figura 2a muestra la ruta más corta y normal: Canadá-Estados Unidos-Corea. ” Continúa el informe.
"Sin embargo, como se muestra en la figura 2b, la ruta secuestrada comenzó en el China Telecom PoP en Toronto, luego el tráfico se reenvió dentro de la red china a su PoP en la costa oeste de los EE. UU., Desde allí a China, y finalmente a la entrega en Corea. . ”
Un ataque similar ocurrió en octubre de 2016, cuando China Telecom secuestró el tráfico de varias ubicaciones en los EE. UU. A una gran sede bancaria angloamericana en Milán, Italia.
Otro incidente ocurrió el 9 de diciembre de 2015, cuando el tráfico a Verizon APAC fue secuestrado a través de China Telecom. En respuesta al incidente, dos de los principales operadores de las rutas afectadas implementaron filtros para rechazar las rutas de Verizon de China Telecom.
Los expertos en seguridad describieron muchos otros ataques de secuestro de BGP que involucran a China Telecom; se informa de más información en el documento de investigación.
Los expertos en seguridad están presionando para adoptar soluciones para proteger BGP, Cloudflare, por ejemplo, sostiene que la infraestructura de clave pública de recursos (RPKI) podría asegurar el enrutamiento de BGP.
Fecha actualización el 2021-11-09. Fecha publicación el 2018-11-09. Categoría: china Autor: Oscar olg Mapa del sitio Fuente: securityaffairs