Author: Alan Tobagua

Employing a BGP hijack against BitCoin miners

A few days ago researchers at Dell SecureWorks published the details of an attacker repeatedly hijacking BGP prefixes for numerous large providers such as Amazon, OVH, Digital Ocean, LeaseWeb, Alibaba and more. The goal of the operation was to intercept data between Bitcoin miners and Bitcoin mining pools. They estimated that $83,000 was made with this attack in just four months. Let’s take a closer look at the BGP details of this specific attack.

BGP hijack details

Our friends at Dell SecureWorks decided not to name the network from which the hijacks originated. As a result we won’t name the exact Autonomous System either, instead we will suffice by saying that the originator of this hijack is a network operating in Eastern Canada.

Initial experiment
BGPmon detected the first BGP attack by this Canadian Autonomous System on October 8th 2013. For about 14 minutes a more specific /24 IP prefix for a Palestinian network was hijacked. Looking at geographical scope of the announcements and the probes that saw this route, we believe that in this case the route was only announced over the Toronto Internet Exchange.

Bitcoin hijack
On Feb 3rd 2014, the first targeted Bitcoin hijacks took place, this affected more specific prefixes for AS 16509 (Amazon). Starting Feb 4th the BGP attack appears to be originating from one of the downstream customers of the attacker. We believe this may have been an attempt to hide the actual Origin AS.

As of February 6th the finger print changes slightly again and the same more specific announcement for Amazon now appears to be announced by Amazon directly; i.e. the most right AS in the AS path is the Amazon AS. Looking at the data we believe that part of the ASpath is spoofed and that Amazon did not actually announce this prefix, instead it was announced by the Canadian attacker who tried to hide itself using AS path prepending.

Interestingly this specific case looks a lot like the ‘stealing the Internet’ attack as presented at Defcon a few years ago, including ASpath poisoning where some of the attackers upstream providers were included in the spoofed part of the ASpath.

We then observe a large gap between February 8th and March 22 where we don’t see any attacks involving this particular AS. On March the 22nd the BGP attacks return. In this case largely with the same fingerprint: mostly more specific (/24) announcements with the same spoofed ASpaths.
Finally May 13, 2014 is the last day these BGP attacks have been observed and it’s been quiet since.

Filters to limit the Scope and impact
It appears that all the BGP announcements related to the Bitcoin hijack attacks were only visible via peers of this Canadian network via the Internet Exchange. This means that the attacker either did not announce these hijacked blocks to their transit providers, or the transit providers did a good job in filtering these announcements.

Most network operators do not have prefix filters on BGP peering sessions at Internet Exchanges. Instead they often only have Max-Prefix filters in place. These Max-Prefix filters are intended to protect against large leaks, or a sudden increase in announced prefixes by these peers. In this scenario the BGP attacker would only announce a few new prefixes at any given time, this prevented Max-Prefix filters to trip.

Collateral damage
The BGP attacker appears to have known exactly what IP addresses are Bitcoin miners and as a result knew who to target. However, because many network operators filter out prefixes longer than a /24, the BGP attacker chose to announce a /24 in order to increase the chances of the prefix being accepted. This means that other machines in the same hijacked /24 prefix that have nothing to do with Bitcoin mining were also affected. Because of the nature of the providers affected, primarily cloud providers offering VM hosting (AWS, OVH, Digital Ocean, ServerStack, Choopa, LeaseWeb and more), it is not unlikely that traffic for machines (VMs) of hundreds of organizations worldwide may have been redirection to the BGP attacker.

Not the first time
This incident follows numerous similar BGP hijacks that happened recently. Just last year networks of several Credit Card companies were attacked.

Another example is the hijack of multiple Government departments of one specific European country. More recently Turkey hijacked the IP addresses of several well-known DNS providers.

These recent examples demonstrate that BGP attack is indeed being used for financial gain, Intelligence collection as well as Censorship.

05.12.2023
GCHQ предпочитает использовать GRE-сниффинг

GCHQ удалось успешно “модифицировать” некоторые версии программного обеспечения Cisco IOS и планировала взломать продукцию российской компании «Лаборатория Касперского» с целью установки в нее жучков, следует из откровений небезызвестного Эдварда Сноудена, ранее работавшего в компании Booz Allen Hamilton, выполнявшей некоторые щепетильные поручения Агентства Национальной Безопасности США.

Центр правительственной связи Великобритании (Government Communications Headquarters, GCHQ) предпринял попытку взлома программного обеспечения «Лаборатории Касперского», однако удалось ли ему это сделать, неизвестно. Об этом сообщает газета The Guardian, в распоряжении которой оказался внутренний документ GCHQ, датированный 2008 г. GCHQ — спецслужба Великобритании, занимающаяся радиоэлектронной разведкой и решением вопросов информационной защиты органов власти и вооруженных сил. Документ был предназначен для министра иностранных дел Дэвида Милибэнда (David Miliband). В нем центр просил продлить разрешение на «модификацию» коммерческого программного обеспечения в обход правил, прописанных в лицензионных соглашениях на продукты. В документе были приведены примеры программных продуктов, которые GCHQ уже успешно взломала. В их число вошли популярная платформа для управления интернет-форумами и системы управления контентом веб-сайтов.

The Guardian не сообщает конкретные названия. Кроме того, в документе говорится о том, что GCHQ удалось успешно взломать маршрутизаторы Cisco, заставив проходящий через них международный трафик выборочно идти через «центр пассивного сбора информации GCHQ». Это напоминает принципы работы Агентства национальной безопасности США, которое, как стало известно ранее, устанавливает жучки в идущее на экспорт оборудование Cisco. «Мы не комментируем сведения о нашей работе, — заявил газете The Guadrian представитель GCHQ. — Тем не менее, спешу убедить вас, что вся наша работа выполняется в строгом соответствии с правовой и рамочной концепциями. Вся наша деятельность разрешена, необходима и соразмерна. Она подвержена строгому контролю, включая контроль со стороны кабинета министров, уполномоченных комиссаров по разведывательной работе и парламентского совета по разведке и безопасности». Представитель центра добавил, что их работа также полностью соответствует Европейской конвенции о защите прав человека.

Газета The Guardian также приводит выдержки из попавшего в ее распоряжение отчета Национального совета США по разведке (National Intelligence Council) от 2009 году. В нем Россия именуется «одним из основных противников» США в сфере кибер-угроз. В отчете говорится, что Россия располагает «квалифицированными» группами хакеров, которые «уже успешно продемонстрировали свою подготовку». В нем также отмечается, что в 2009 году Китай был основным источником финансирования кибер-атак на США, однако у страны не было того уровня квалификации и тех возможностей, которые есть у российских хакеров.

02.10.2023
Download Cisco Works • Cisco Prime LAN Management Solution 4.1

Cisco Prime LAN Management Solution (LMS) delivers powerful network security management by simplifying the configuration, administration, monitoring, and troubleshooting of Cisco networks.

This innovative solution offers end-to-end security management for business critical technologies and services, such as, medianet, TrustSec, and EnergyWise. Cisco Prime LMS 4.1 improves the overall user experience, providing new workflows that are built on functional partitioning and that align the product with the way network operators do their jobs.

Once installed, prepackaged security and troubleshooting dashboards provide actionable information to quickly isolate and fix network problems before they affect services.

Configuring and deploying updates to the network has never been easier with the Template Center, which now incorporates Cisco Smart Business Architecture (SBA) templates that are based upon Cisco Validated Designs, simplifying platform and technology rollout and reducing the chance for errors.

Work Centers provide a single area where guided workflows give step-by-step instructions to help operators quickly provision, monitor, and manage new Cisco value-added technologies and solutions, such as medianet, EnergyWise, TrustSec/Identity, Auto Smartports, and Smart Install.

Download Cisco Prime 4.1

08.05.2023

Модель сетевого взаимодействия OSI – Open Systems Interconnection

Модель ISO/ OSI предполагает, что все сетевые приложения можно подразделить на семь уровней, для каждого из которых созданы свои стандарты и общие модели. В результате задача сетевого взаимодействия делиться на меньшие и более легкие задачи, обеспечивается совместимость между продуктами разных производителей и упрощается разработка приложений за счёт создания отдельных уровней и использования уже существующих реализаций.

Open Systems Interconnection - Модель OSI

Теоретически, каждый уровень должен взаимодействовать с аналогичным уровнем удаленного компьютера. На практике каждый из них, за исключением физического, взаимодействует с выше – и нижележащими уровнями – представляет услуги вышележащему и пользуется услугами нижележащего. В реальной ситуации на одном компьютере независимо друг от друга иногда выполняется несколько реализаций одного уровня. Например, компьютер может иметь несколько сетевых адаптеров стандарта Ethernet или адаптеры стандартов Ethernet и Token-Ring и.т.д.

Физический уровень

Физический уровень описывает физические свойства (например, электромеханические характеристики) среды и сигналов, переносящих информацию. Это физические характеристики кабелей и разъемов, уровни напряжений и электрического сопротивления и.т.д., в том числе, например, спецификация кабеля «неэкранированная витая пара» (unshielded twisted pair, UTP)

Канальный уровень

Канальный уровень обеспечивает перенос данных по физической среде. Он поделен на два подуровня: управления логическим каналом (logical link control, LLC) и управления доступом к среде (media access control, MAC). Такое деление позволяет одному уровнюLLC использовать различные реализации уровня MAC. Уровень MAC работает с применяемым в Ethernet и Token–Ring физическими адресами, которые «вшиты» в сетевые адаптеры их производителями. Следует различать физические и логические (например, IP) адреса. С последним работает сетевой уровень.

Сетевой уровень

В отличии от канального уровня, имеющего дело с физическими адресами, сетевой уровень работает с логическими адресами. Он обеспечивает подключение и маршрутизацию между двумя узлами сети. Сетевой уровень предоставляет транспортному уровню услуги с установлением соединения (connection–oriented), например Х.25, или без установления такового (connectionless) например IP (internetprotocol). Одна из основных функций сетевого уровня – маршрутизация.

К протоколам сетевого уровня относиться IP и ICMP (Internet Control Massage Protocol).

Транспортный уровень

Транспортный уровень предоставляет услуги, аналогично услугам сетевого уровня. Надежность гарантируют лишь некоторые (не все) реализации сетевых уровней, поэтому ее относят к числу функций, выполняемых транспортным уровнем. Транспортный уровень должен существовать хотя бы потому, что иногда все три нижних уровня (физический, канальный и сетевой) предоставляет оператор услуг связи. В этом случае, используя соответствующий протокол транспортного уровня, потребитель услуг может обеспечить требуемую надежность услуг. TCP (Transmission Control Protocol) – широко распространенный протокол транспортного уровня.

Сеансовый уровень

Сеансовый уровень обеспечивает установление и разрыв сеансов, и управление ими. Сеанс – это логическое соединение между двумя конечными пунктами. Наилучший пример этой модели – телефонный звонок. При наборе номера Вы устанавливаете логическое соединение, в результате на другом конце провода звонит телефон. Когда один из собеседников говорит «аллё», начинается передача данных. После того как один из абонентов вешает трубку, телефонная компания выполняет некоторые действия для разрыва соединения. Сеансовый уровень следит также за очередностью передачи данных. Эту функцию называют «управление диалогом» (dialog management). Вот примеры протоколов сеансового, представительного и прикладного уровней –SMTP (Simple Mail Transfer Protocol), FTP (File Transfer Protocol) и Telnet.

Представительный уровень

Представительный уровень позволяет двум стекам протоколов «договариваться» о синтаксисе (представлении) передаваемых друг другу данных. Поскольку гарантий одинакового представления информации нет, то этот уровень при необходимости переводит данные из одного вида в другой.

Прикладной уровень

Прикладной уровень – высший в модели ISO/ OSI. На этом уровне выполняться конкретные приложения, которые пользуются услугами представительного уровня (и косвенно – всех остальных). Это может быть обмен электронной почтой, пересылка файлов и любое другое сетевое приложение.

Таблица 1. модель ISO/ OSI и некоторые протоколы соответствующих уровней.

ПРИКЛАДНОЙ УРОВЕНЬ	SMTP (Simple Mail Transfer Protocol), FTP (File Transfer Protocol)
ПРЕДСТАВИТЕЛЬНЫЙ УРОВЕНЬ
СЕАНСОВЫ УРОВЕНЬ
ТРАНСПОРТНЫЙ УРОВЕНЬ	TCP AND UDP
СЕТЕВОЙ УРОВЕНЬ	IP, ICMP, ARP
КАНАЛЬНЫЙ УРОВЕНЬ	IEEE 802.3 Ethernet
ФИЗИЧЕСКИЙ УРОВЕНЬ	IEEE 802.3 Ethernet

19.12.2022

Author: Alan Tobagua

Employing a BGP hijack against BitCoin miners

GCHQ предпочитает использовать GRE-сниффинг

Download Cisco Works • Cisco Prime LAN Management Solution 4.1

Модель сетевого взаимодействия OSI – Open Systems Interconnection