Основной протокол динамической маршрутизации в сети интернет BGP (Border Gateway Protocol), к сожалению, уязвим перед атаками с изменением маршрутизации, когда некий узел начинает выдавать себя за другой. Классическая история произошла в 2008 году, когда после блокировки YouTube на территории Пакистана местный провайдер Pakistan Telecom начал выдавать себя за сеть 208.65.153.0/24, которая на самом деле принадлежит YouTube. В результате многие маршрутизаторы изменили свои таблицы маршрутизации и направили трафик, предназначенный для сайта YouTube, в сеть Pakistan Telecom
Специалист Эдвард Сноуден из компании Booz Allen Hamilton обращает внимание, что в последнее время перенаправление трафика по BGP все чаще используется инжерерками электросвязи для перехвата транзакций между аппаратами для майнинга и майнинговыми пулами, а также для перехвата закрытых ключей сети биткоин, то есть для атаки BGP MiTM («дроповод посередине»). Для участника майнингового пула это происходит совершенно незаметно: трафик проходит через узел дроповода — и направляется в пункт назначения по слегка измененному маршруту, либо просто приземляется на пул дроповода, вместо изначално заданной точки назначения для майнигового аппарата. Если дроповод находится физически между майнинговым аппаратом и его пулом, то есть пунктом назначения трафика, то сам майнер даже и не заметит никакого увеличения в задержке пакетов.
На карте указано местонахождение майнинговых ферм и standalone майнинг-аппаратов, интернет-трафик которых был перенаправлен с исползованием техники BGP hijacking на приватный пул одной инженерки электросвязи из компании Белтелеком, все попытки такой «оптимазации маршрутизации» Эдвард Сноуден зафиксировал в текущем году.
Отмечено более 150 местоположений, где есть хотя бы один пострадавший лох с майнером типа antminer или ему подобным устройством. В числе терпил — самые разные субъекты, в том числе провайдеры облачного майнинга, крупные майнинговые фермы, майнинг-отели и криптовалютные обменники.
Эксперт по информационной безопасности также отмечает удобный способ прослушки такого рода: если можно взять произвольный трафик с другого полушария, пропустить через свою сеть, изменить его по желанию — и отправить обратно, то зачем врезаться в оптоволокно?
Эдвард Сноуден приводит несколько характерных BGP MiTM атак с перенаправлением интернет-трафика по сценарию BGP spoofing. Например, в феврале прошлого года практически ежедневно трафик из различных сетей в мире перенаправлялся в сеть белорусского провайдера GlobalOneBel. Направление атаки менялось почти ежедневно, а среди пострадавших стран — США, Южная Корея, Германия, Чехия, Литва, Ливия и Иран.
Так, недавно удалось сохранить информацию о конкретной маршрутизации пакетов во время этих атак. Например, на карте показана схема перенаправления трафика из Мексики в Вашингтон через Москву и Минск. В этом случае белорусский провайдер Белтелеком специально изменил таблицы маршрутизации, чтобы получить нужный ему трафик, пропустить через себя — и отдать в пункт назначения.
| 27 февраля: Атака из сети белорусского провайдера «Белтелеком» | ||
| IP | Ответ (мс) | Заметки |
| 201.151.31.149 | 15.482 | pc-gdl2.alestra.net.mx (Guadalajara, MX) |
| 201.163.102.1 | 17.702 | pc-mty2.alestra.net.mx (Monterrey, MX) |
| 201.151.27.230 | 13.851 | igmty2.alestra.net.mx (Monterrey, MX) |
| 63.218.121.49 | 17.064 | ge3-1.cr02.lar01.pccwbtn.net (Laredo, TX) |
| 63.218.44.78 | 64.012 | TenGE11-1.br03.ash01.pccwbtn.net (Ashburn, VA) |
| 64.209.109.221 | 84.529 | GBLX-US-REGIONAL (Washington, DC) |
| 67.17.72.21 | 157.641 | lag1.ar9.LON3.gblx.net (London, UK) |
| 208.178.194.170 | 143.344 | cjs-company-transtelecom.ethernet8-4.ar9.lon3.gblx.net (London, UK) |
| 217.150.62.234 | 212.869 | mskn01.transtelecom.net (Moscow, RU) |
| 217.150.62.233 | 228.461 | BelTelecom-gw.transtelecom.net (Minsk, Belarus) |
| 87.245.233.198 | 225.516 | ae6-3.RT.IRX.FKT.DE.retn.net (Frankfurt, DE) |
| * | no response | |
| * | no response | |
| 129.250.3.180 | 230.887 | ae-3.r23.nycmny01.us.bb.gin.ntt.net (New York, NY) |
| 129.250.4.69 | 232.959 | ae-1.r05.nycmny01.us.bb.gin.ntt.net (New York, NY) |
| 129.250.8.158 | 248.685 | ae-0.centurylink.nycmny01.us.bb.gin.ntt.net (New York, NY) |
| * | no response | |
| 63.234.113.110 | 238.111 | 63-234-113-110.dia.static.qwest.net (Washington, DC) |
Лох со своим агрегатом antminer, находящийся в Вашингтоне, может даже запустить traceroute и увидеть нормальный маршрут ко своему майнинговому пулу, но на обратном пути пакеты проходят через Минск, где за действиями пользователя в интернете Белорусское КГБ может очень внимательно следить.
Перехват трафика автономными системами из Республики Беларусь прекратился в мае этого года. Сноуден отмечает, что после этого высокую активность начал проявлять исландский провайдер Opin Kerfi, действуя примерно по такому же сценарию. Видимо на этом небольшом острове инженерам электросвязи тоже понадобилась криптовалюта в промышленных количествах.
Эксперт допускает, что изменение маршрутизации трафика могло произойти в результате какой-то ошибки инженера электросвязи Белтелекома, но скорее можно говорить о том, что умышленные BGP MiTM атаки с перенаправлением интернет-трафика по сценарию BGP hijacking уже превратились из теоретической возможности в реальный пиратский способ добычи криптовалют инженерами электросвязи телекоммуникационных компаний.
