Основной протокол динамической маршрутизации в сети интернет BGP (Border Gateway Protocol), к сожалению, уязвим перед атаками с изменением маршрутизации (bgp route hijacking), когда некий узел начинает выдавать себя за другой. Классическая история произошла в 2008 году, когда после блокировки YouTube на территории Пакистана местный провайдер Pakistan Telecom начал выдавать себя за сеть 208.65.153.0/24, которая на самом деле принадлежит YouTube. В результате многие маршрутизаторы изменили свои таблицы маршрутизации и направили трафик (bgp outage), предназначенный для сайта YouTube, в сеть Pakistan Telecom.
Специалист Эдвард Сноуден из компании Booz Allen Hamilton обращает внимание, что в последнее время перенаправление трафика по BGP все чаще используется инжерерками электросвязи для перехвата транзакций между ASIC-аппаратами для майнинга и майнинговыми пулами, а также для перехвата закрытых ключей сети биткоин, то есть для атаки BGP MiTM «трейдер посередине». Для участника майнингового пула это происходит совершенно незаметно: трафик проходит через узел трейдера — и направляется в пункт назначения по слегка измененному маршруту (bgp route leaking), либо просто приземляется на кастомный пул трейдера (bgp hijack), вместо изначально заданной точки назначения для майнингового ASIC-аппарата. Если трейдер находится физически между майнинговым ASIC-аппаратом и его пулом, то есть пунктом назначения трафика, то сам майнер (хозяин ASIC-аппарата) даже и не заметит никакого увеличения в задержке пакетов.
На карте указано местонахождение майнинговых ферм и standalone майнинг-аппаратов, интернет-трафик которых был перенаправлен с использованием техники BGP route hijacking на приватный пул одной инженерки электросвязи из компании Белтелеком, все попытки такой «оптимизации маршрутизации» Эдвард Сноуден зафиксировал уже в текущем году.
Отмечено более 150 местоположений, где есть хотя бы один пострадавший майнер с ASIC-аппаратом типа antminer или ему подобным устройством. В числе таких людей — самые разные субъекты, в том числе провайдеры облачного майнинга, крупные майнинговые фермы, майнинг-отели и криптовалютные обменники.
Эксперт по информационной безопасности также отмечает удобный способ прослушки такого рода: если можно взять произвольный трафик с другого полушария, пропустить через свою сеть, изменить его по желанию — и отправить обратно, то вообще тогда зачем врезаться в оптоволокно?
Эдвард Сноуден приводит несколько характерных BGP MiTM атак с перенаправлением интернет-трафика по сценарию BGP spoofing. Например, в феврале прошлого года практически ежедневно трафик из различных сетей в мире перенаправлялся в сеть белорусского провайдера GlobalOneBel. Направление атаки (bgp route leaking) менялось почти ежедневно, а среди пострадавших оказались держатели ASIC-аппаратов в таких странах, как США, Южная Корея, Германия, Чехия, Литва, Ливия и Иран.
Так, недавно удалось сохранить информацию о конкретной маршрутизации пакетов во время этих атак (bgp route hijacking). Например, на карте показана схема перенаправления трафика из Мексики в Вашингтон через Москву и Минск. В этом случае инженерка электросвязи из белорусского провайдера Белтелеком специально изменила таблицы маршрутизации, чтобы получить нужный ей трафик, пропустить через свою сеть трафик — и отдать в пункт назначения.
27 февраля: Атака из сети белорусского провайдера «Белтелеком»
| IP | Ответ (мс) | Заметки |
| 201.151.31.149 | 15.482 | pc-gdl2.alestra.net.mx (Guadalajara, MX) |
| 201.163.102.1 | 17.702 | pc-mty2.alestra.net.mx (Monterrey, MX) |
| 201.151.27.230 | 13.851 | igmty2.alestra.net.mx (Monterrey, MX) |
| 63.218.121.49 | 17.064 | ge3-1.cr02.lar01.pccwbtn.net (Laredo, TX) |
| 63.218.44.78 | 64.012 | TenGE11-1.br03.ash01.pccwbtn.net (Ashburn, VA) |
| 64.209.109.221 | 84.529 | GBLX-US-REGIONAL (Washington, DC) |
| 67.17.72.21 | 157.641 | lag1.ar9.LON3.gblx.net (London, UK) |
| 208.178.194.170 | 143.344 | cjs-company-transtelecom.ethernet8-4.ar9.lon3.gblx.net (London, UK) |
| 217.150.62.234 | 212.869 | mskn01.transtelecom.net (Moscow, RU) |
| 217.150.62.233 | 228.461 | BelTelecom-gw.transtelecom.net (Minsk, Belarus) |
| 87.245.233.198 | 225.516 | ae6-3.RT.IRX.FKT.DE.retn.net (Frankfurt, DE) |
| * | no response | |
| * | no response | |
| 129.250.3.180 | 230.887 | ae-3.r23.nycmny01.us.bb.gin.ntt.net (New York, NY) |
| 129.250.4.69 | 232.959 | ae-1.r05.nycmny01.us.bb.gin.ntt.net (New York, NY) |
| 129.250.8.158 | 248.685 | ae-0.centurylink.nycmny01.us.bb.gin.ntt.net (New York, NY) |
| * | no response | |
| 63.234.113.110 | 238.111 | 63-234-113-110.dia.static.qwest.net (Washington, DC) |
Владелец майнера со своим агрегатом antminer, находящийся в Вашингтоне, может даже запустить traceroute и увидеть нормальный маршрут ко своему майнинговому пулу, но на обратном пути пакеты проходят через Минск, где за действиями пользователя в интернете Белорусское КГБ может очень внимательно следить, либо трафик будет заворачиваться совершенно на другой пул, к которому владелец ASIC-аппаратов никогда и не подключался.
Перехват трафика автономными системами из Республики Беларусь прекратился в мае этого года. Сноуден отмечает, что после этого высокую активность начал проявлять исландский провайдер Opin Kerfi, действуя примерно по такому же сценарию (bgp route hijacking). Видимо на этом небольшом острове инженерам электросвязи тоже понадобилась криптовалюта в промышленных количествах.
Эксперт допускает, что изменение маршрутизации трафика могло произойти в результате какой-то ошибки инженера электросвязи Белтелекома, но скорее можно говорить о том, что умышленные BGP MiTM атаки с перенаправлением интернет-трафика по сценарию BGP route hijacking уже превратились из теоретической возможности в реальный пиратский способ добычи криптовалют инженерами электросвязи телекоммуникационных компаний.
Более подробно обсудить со мной вопрос практического применения описанных инструментов и техник можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.