Аномальное перенаправление части трафика Visa, MasterCard и некоторых банков.

Аватар пользователя Masamune

Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значительная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась.

Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов (сейчас любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от ближних систем, не применяющих фильтрацию анонсов).

В случае Ростелекома вопросы вызывает присутствие известных финансовых сервисов в списке перенаправленных сетей (случайные утечки обычно менее избирательны) и то, что характер префиксов свидетельствует о ручном изменений таблиц маршрутизации, а не типичной утечке анонсов по цепочке "BGP - OSPF - BGP"). Тем не менее, скорее всего проблема вызвана ошибкой в конфигурации, так как проведение столько заметной и грубой атаки по перехвату трафика маловероятно.

Но даже если была совершена ошибка, настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисов (возможно, ошибка была совершена в ходе настройки внутреннего мониторинга/зеркалирования проходящего через Ростелеком трафика для всплывших автономных систем, как в своё время заворачивание в Пакистане подсетей YouTube на null-интерфейс привело к появлению этих подсетей в BGP анонсах и стеканию трафика YouTube в Пакистан). В случае получения доступа к транзитному трафику Visa и MasterCard дешифровка почти исключена, но имеется возможность изучить характер трафика и источники запросов, что может быть использовано для проведения целевых атак на менее защищённые партнёрские компании.

Авторство: 
Копия чужих материалов
Комментарий автора: 

Похоже, готовятся к депирингу с Западом и атакам на финансовые инфраструктуры.

Комментарии

Аватар пользователя Нехороший
Нехороший(8 лет 6 месяцев)

Похоже, готовятся к депирингу с Западом и атакам на финансовые инфраструктуры.

И к Чебурашке.

Аватар пользователя Спасибо
Спасибо(10 лет 6 месяцев)

К такому:

2022864.jpg

?

Аватар пользователя Системник
Системник(9 лет 9 месяцев)

трафику Visa и MasterCard дешифровка почти исключена

laughlaugh

Аватар пользователя chandr
chandr(7 лет 10 месяцев)

настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисов 

Вряд ли этим интересуются инженеры Ростелекома. 

Аватар пользователя просто Леха
просто Леха(9 лет 8 месяцев)

А теперь переведите это на язык Пушкина. Чувствую себя полным дебилом. 

Аватар пользователя МГ
МГ(9 лет 7 месяцев)

русские хакеры шалят! не обращайте внимания )

Аватар пользователя gerasimenko-vla
gerasimenko-vla(9 лет 9 месяцев)

Путин готовится к финансовому суверенитету идя по путям Сталина, вот по Русски так!

Аватар пользователя Riperbahn
Riperbahn(8 лет 11 месяцев)

Вроде слова знакомые, а смысл предложений непонятен. 

Аватар пользователя Спасибо
Спасибо(10 лет 6 месяцев)

Любая продвинутая тема для не посвящённого не будет отличаться от шизофазии..

Аватар пользователя Нехороший
Нехороший(8 лет 6 месяцев)

Любая достаточно развитая технология неотличима от магии.

laugh

Аватар пользователя Спасибо
Спасибо(10 лет 6 месяцев)

+Тыщща!!

Аватар пользователя Системник
Системник(9 лет 9 месяцев)

А так-то, вцелом, кому-то что-то просто продемонстрировали.

Аватар пользователя obana
obana(10 лет 4 недели)

здесь нет ничего особенного - потянуть "одеяло" на себя. Вышибить бордер рутеры у Визы, Мастер и Ко было можно раньше, можно сейчас и потом будет тоже можно ;-)
Вот инжекшин для PE-CE трафика действительно действенно, только в том окошке это видно не будет.

ПС: хотя _один_ АС из списка действительно и необычно интересен

Аватар пользователя Rodriguez
Rodriguez(7 лет 10 месяцев)

Очень похоже на то, что Ростелеком делает у себя зеркала сервисов платежных систем. То есть в случае отключения от визы и т.д., в российском сегменте сети подменят днс, который будет указывать на наши аналогичные сервисы. Из известного приходит на память "Мир". Если все действительно так, то отключение от визы и т.д. произойдет полностью незаметно и без паники.

Аватар пользователя woddy
woddy(11 лет 11 месяцев)

а хттпс сертификаты украдут?

Аватар пользователя Rashad_rus
Rashad_rus(12 лет 9 месяцев)

Анонсы на подобное перестроение не разлетелись более, чем на 2-3 хопа или только у тех операторов, кто получает fullview от ростелека... трастелек такой фигнёй не страдал...

Аватар пользователя alexandrv
alexandrv(12 лет 3 месяца)

Тестируют

Аватар пользователя saenara
saenara(8 лет 1 неделя)

Чуть чаем не подавился, когда номер AS увидел, почти мой :-)

Гулять -- так гулять, пойду 8/10 анонсить, им можно, а мне что, нельзя? :-)

Аватар пользователя mamomot
mamomot(11 лет 11 месяцев)

Как ничего не понимающий в зеркалах и 21-ом прерывании, скажу афоризмом КозьмЫ Пруткова:

"Не для какой-нибудь Анюты

В войсках делают салюты!"