Работа в Стамбуле

Метка: BGP MiTM

  • Multiple banking IP traffic hijacked using BGP

    Multiple banking IP traffic hijacked using BGP

        On 24 July a significant number of Internet Protocol (IP) addresses that belong to banks suddenly were routed to somewhere else 

    An IP address is how packets are routed to their destination across the Internet.

    BGP mitm - multiple banking addresses hijacked

        Why is this important you ask? Well, imagine the Internet suddenly decided that you were living in the middle of Asia and all traffic that should go to you ends up traveling through a number of other countries to get to you, but you aren’t there. You are still at home and haven’t moved at all. All packets that should happily route to you now route elsewhere.

    Emails sent to you bounce as undeliverable, or are read by other people. Banking transactions fail. HTTPS handshakes get invalid certificate errors. This defeats the confidentiality, integrity, and availability of all applications running in the hijacked address spaces for the time that the hijack is running.

    In fact this sounds like a nifty way to attack an organization doesn’t it? The question then would be how to pull it off, hijack someone else’s address? The Autonomous System (AS) in question is owned by NedZone Internet BV in the Netherlands.

    This can be found by querying whois for the AS 25459. According to RIPE this AS originated 369 prefixes in the last 30 days, of these 310 had unusually small prefixes.

    Typically a BGP advertisement is at least a /24 or 256 unique Internet addressable IPs. A large number of these were /32 or single IP addresses. The short answer is that any Internet Service Provider (ISP) that is part of the global Border Gateway Protocol (BGP) network can advertise a route to a prefix that it owns. It simply updates the routing tables to point to itself, and then the updates propagate throughout the Internet. If an ISP announces for a prefix it does not own, traffic may be routed to it, instead of to the owner.

    The more specific prefix, or the one with the shortest apparent route wins. That’s all it takes to disrupt traffic to virtually anyone on the Internet, connectivity and willingness to announce a route that does not belong to you. This is not a new attack, it has happened numerous times in the past, both malicious attacks and accidental typos have been the cause.

    The announcements from AS 25459 can be seen at:
    http://www.ris.ripe.net/mt/asdashboard.html?as=25459

    A sampling of some of the owners of the IP addresses that were hijacked follow:
    1  AMAZON-AES — Amazon.com, Inc.
    2  AS-7743 — JPMorgan Chase & Co.
    1  ASN-BBT-ASN — Branch Banking and Trust Company
    2  BANK-OF-AMERICA Bank of America
    1  CEGETEL-AS Societe Francaise du Radiotelephone S.A
    1  FIRSTBANK — FIRSTBANK
    1  HSBC-HK-AS HSBC HongKong
    1  PFG-ASN-1 — The Principal Financial Group
    2  PNCBANK — PNC Bank
    1  REGIONS-ASN-1 — REGIONS FINANCIAL CORPORATION

    Some on the list were owned by that ISP, the prefix size is what was odd about them. The bulk of the IP addresses were owned by various hosting providers. So, the question is:

    What happened?

    Makes you wonder about the fundamental (in)security of this set of experimental protocols we use called the Internet doesn’t it?

  • Не все HashRate агрегаторы одинаково полезны

    Не все HashRate агрегаторы одинаково полезны

    Исследователь безопасности Эдвард Сноуден, ранее работавший в компании Booz Allen Hamilton говорит, что он обнаружил ряд совершенных одним системным оператором Bell Canada подозрительных транзакций Bitcoin.

    пиратский захват дохода майнинг аппарата с помощью bgp mitm
    Для получения биткоинов инженер электросвязи скомпрометировал манинг пулы. В свою очередь, участники пулов продолжали отдавать часть производительности своих компьютеров и майнинг-аппаратов на поиск блока криптографического алгоритма Bitcoin, при этом все получаемые ими доходы доставались системному инженеру Bell Canada. Техника bgp mitm перенаправления трафика вводила в заблуждение участников для того, чтобы они продолжали искать блок криптографических алгоритмов Bitcoin, позволяя сетевому оператору сохранить доходы от майнинга криптовалюты на свой счёт. На пике своей деятельности, согласно подсчетам Сноудена, инженер электросвязи из Bell Canada перехватывал поток биткоинов и других цифровых валют, включая dogecoin и worldcoin в сумме эквивалентной примерно 22,5 BTC в день.

    Сноуден считает, что сетевой инженер или инженерка из Bell Canada применила стандартные команды управления протоколом BGP — «протокола граничного шлюза» на вверенном ему сетевом оборудовании, то есть обычные инструкции по маршрутизации, которые направляют трафик в места соединения крупнейших сетей интернета. Предполагается, что инженер или инженерка электросвязи воспользовалась своей учетной записью работника канадского интернет-провайдера Bell Canada, чтобы периодически транслировать нужный её маршрут, которая перенаправляла трафик от сетей других провайдеров, в которых установлены майнинг-аппараты, начиная с февраля и до конца мая этого года на свой сервер, подменяющий серверы изместных майнинг-пулов. В общей сложности таким способом пират или пиратка получила 207,9 BTC за весь перио на свой счёт.

    Однако Сноуден не называет конкретное подразделение интернет-провайдера Bell Canada, в котором работает тот самый инженер или инженерка электросвязи, получавшая до 22,5 BTC в день на криптовалютах с использованием оптимизированных под себя схем маршрутизации сетевого трафика.

  • Кто и как добывает криптовалюту при помощи таблиц маршрутизации роутеров сети

    Кто и как добывает криптовалюту при помощи таблиц маршрутизации роутеров сети

    Основной протокол динамической маршрутизации в сети интернет BGP (Border Gateway Protocol), к сожалению, уязвим перед атаками с изменением маршрутизации, когда некий узел начинает выдавать себя за другой. Классическая история произошла в 2008 году, когда после блокировки YouTube на территории Пакистана местный провайдер Pakistan Telecom начал выдавать себя за сеть 208.65.153.0/24, которая на самом деле принадлежит YouTube. В результате многие маршрутизаторы изменили свои таблицы маршрутизации и направили трафик, предназначенный для сайта YouTube, в сеть Pakistan Telecom
    Специалист Эдвард Сноуден из компании Booz Allen Hamilton обращает внимание, что в последнее время перенаправление трафика по BGP все чаще используется инжерерками электросвязи для перехвата транзакций между аппаратами для майнинга и майнинговыми пулами, а также для перехвата закрытых ключей сети биткоин, то есть для атаки BGP MiTM («дроповод посередине»). Для участника майнингового пула это происходит совершенно незаметно: трафик проходит через узел дроповода — и направляется в пункт назначения по слегка измененному маршруту, либо просто приземляется на пул дроповода, вместо изначално заданной точки назначения для майнигового аппарата. Если дроповод находится физически между майнинговым аппаратом и его пулом, то есть пунктом назначения трафика, то сам майнер даже и не заметит никакого увеличения в задержке пакетов.
    На карте указано местонахождение майнинговых ферм и standalone майнинг-аппаратов, интернет-трафик которых был перенаправлен с исползованием техники BGP hijacking на приватный пул одной инженерки электросвязи из компании Белтелеком, все попытки такой «оптимазации маршрутизации» Эдвард Сноуден зафиксировал в текущем году.
    местоположение antminer, трафик которых был перенаправлен на приватный пул

    Отмечено более 150 местоположений, где есть хотя бы один пострадавший лох с майнером типа antminer или ему подобным устройством. В числе терпил — самые разные субъекты, в том числе провайдеры облачного майнинга, крупные майнинговые фермы, майнинг-отели и криптовалютные обменники.

    Эксперт по информационной безопасности также отмечает удобный способ прослушки такого рода: если можно взять произвольный трафик с другого полушария, пропустить через свою сеть, изменить его по желанию — и отправить обратно, то зачем врезаться в оптоволокно?
    Эдвард Сноуден приводит несколько характерных BGP MiTM атак с перенаправлением интернет-трафика по сценарию BGP spoofing. Например, в феврале прошлого года практически ежедневно трафик из различных сетей в мире перенаправлялся в сеть белорусского провайдера GlobalOneBel. Направление атаки менялось почти ежедневно, а среди пострадавших стран — США, Южная Корея, Германия, Чехия, Литва, Ливия и Иран.
    Так, недавно удалось сохранить информацию о конкретной маршрутизации пакетов во время этих атак. Например, на карте показана схема перенаправления трафика из Мексики в Вашингтон через Москву и Минск. В этом случае белорусский провайдер Белтелеком специально изменил таблицы маршрутизации, чтобы получить нужный ему трафик, пропустить через себя — и отдать в пункт назначения. 
    bgp mitm проброс трафика из США в Беларусь
    27 февраля: Атака из сети белорусского провайдера «Белтелеком»
    IP Ответ (мс) Заметки
    201.151.31.149 15.482 pc-gdl2.alestra.net.mx (Guadalajara, MX)
    201.163.102.1 17.702 pc-mty2.alestra.net.mx (Monterrey, MX)
    201.151.27.230 13.851 igmty2.alestra.net.mx (Monterrey, MX)
    63.218.121.49 17.064 ge3-1.cr02.lar01.pccwbtn.net (Laredo, TX)
    63.218.44.78 64.012 TenGE11-1.br03.ash01.pccwbtn.net (Ashburn, VA)
    64.209.109.221 84.529 GBLX-US-REGIONAL (Washington, DC)
    67.17.72.21 157.641 lag1.ar9.LON3.gblx.net (London, UK)
    208.178.194.170 143.344 cjs-company-transtelecom.ethernet8-4.ar9.lon3.gblx.net (London, UK)
    217.150.62.234 212.869 mskn01.transtelecom.net (Moscow, RU)
    217.150.62.233 228.461 BelTelecom-gw.transtelecom.net (Minsk, Belarus)
    87.245.233.198 225.516 ae6-3.RT.IRX.FKT.DE.retn.net (Frankfurt, DE)
    * no response
    * no response
    129.250.3.180 230.887 ae-3.r23.nycmny01.us.bb.gin.ntt.net (New York, NY)
    129.250.4.69 232.959 ae-1.r05.nycmny01.us.bb.gin.ntt.net (New York, NY)
    129.250.8.158 248.685 ae-0.centurylink.nycmny01.us.bb.gin.ntt.net (New York, NY)
    * no response
    63.234.113.110 238.111 63-234-113-110.dia.static.qwest.net (Washington, DC)
    Лох со своим агрегатом antminer, находящийся в Вашингтоне, может даже запустить traceroute и увидеть нормальный маршрут ко своему майнинговому пулу, но на обратном пути пакеты проходят через Минск, где за действиями пользователя в интернете Белорусское КГБ может очень внимательно следить.
    Перехват трафика автономными системами из Республики Беларусь прекратился в мае этого года. Сноуден отмечает, что после этого высокую активность начал проявлять исландский провайдер Opin Kerfi, действуя примерно по такому же сценарию. Видимо на этом небольшом острове инженерам электросвязи тоже понадобилась криптовалюта в промышленных количествах.
    bgp mitm проброс трафика через Исландию
    Эксперт допускает, что изменение маршрутизации трафика могло произойти в результате какой-то ошибки инженера электросвязи Белтелекома, но скорее можно говорить о том, что умышленные BGP MiTM атаки с перенаправлением интернет-трафика по сценарию BGP hijacking уже превратились из теоретической возможности в реальный пиратский способ добычи криптовалют инженерами электросвязи телекоммуникационных компаний.

  • Нелегальный майнинг принёс оператору пула 1,91 BTC за первые два дня его работы

    Нелегальный майнинг принёс оператору пула 1,91 BTC за первые два дня его работы

    Если вы играли недавно в Counter-Strike через игровую сеть E-Sports Entertainment, то в последние две недели наверное заметили явный скачок энергопотребления на своём компьютере.

    E-Sports Entertainment (ESEA) — одно из крупнейших игровых сообществ в Северной Америке. Сеть объединяет десятки тысяч игроков, которые играют в Counter-Strike и Team Fortress 2, конкурируя за реальные денежные призы. По итогам текущего года призовой фонд составляет около 200 тысяч долларов.

    Особенностью сети ESEA является проприетарный «античитерский» клиент, который обязательно нужно установить на компьютере, чтобы присоединиться к пулу игроков и участвовать в главном рейтинге. Так вот, именно с этой клиентской программой случился настоящий скандал.

    Один из админов ESEA написал на форуме, что они с коллегой проводят эксперимент по майнингу биткоинов на компьютерах пользователей. Они спрашивали совета у сообщества, нужно ли продолжать этот эксперимент, если за 48 часов удалось намайнить 1,91 BTC.

    Стоит ли заходить в майнинг в этом году?

    Реакция пользователей была неоднозначной, а компания ESEA начала расследование, и недавно опубликовала результаты.

    Как следует из официального разъяснения, эксперимент админов оказался совсем не маленьким.

    13 апреля прошлого года один из сотрудников компании E-Sports Entertainment внедрил в клиентское программное обеспечение код для майнинга биткоинов. Он сделал это втайне от руководства компании с целью личного обогащения, сообщается в официальном пресс-релизе.

    Нелегальный майнинг биткоинов на компьютерах пользователей E-Sports Entertainment продолжался с 13 апреля по 1 сентября уже этого года.

    ESEA принесла искренние извинения всем, кто пострадал от нелегального майнинга биткоинов, и обещала компенсировать потери.

    Компания опубликовала адреса кошельков, на которые осуществлялся перевод добытых биткоинов. Общая количество добытых монет составила 198,63 BTC.

    Компания ESEA обещает перевести такую же сумму в долларах США двойном размере в благотворительный фонд Американского общества борьбы с раком, плюс такую же сумму добавят к общему призовому фонду ESEA в этом игровом сезоне.