Метка: mpls mitm

В минувший понедельник многие службы Google оказались недоступны для некоторых пользователей интернета. Причина – очередная утечка маршрутов BGP, из-за которой трафик перенаправлялся через Россию, Китай и Нигерию. Чем именно был вызван инцидент, проблемами с конфигурацией или кибератакой, пока непонятно.

Протокол Border Gateway Protocol (BGP) предназначен для управления глобальными маршрутами передачи данных через сеть интернет. Перехват BGP сессий и утечка BGP маршрутов возникают, когда преднамеренно или случайно происходит захват или префиксов групп IP-адресов путем повреждения таблиц маршрутизации, хранящих путь к заданной сети определённого маршрутизатора, как правило одного из крупных транзитных провайдеров сети интернет.

По данным компании ThousandEyes, специализирующейся на мониторинге сети, утечка маршрутов BGP произошла в понедельник, когда трафик, предназначавшийся для Google Search, G-Suite и различных других служб Google Cloud, был перенаправлен через российскую компанию «ТрансТелеком» AS20485, нигерийского интернет-провайдера MainOne AS37282 и китайскую государственную компанию China Telecom AS4809.

Как сообщили эксперты из BGPmon, инцидент затронул 212 уникальных BGP префиксов Google.

«По результатам проведенного нами анализа, источником утечки является межсетевое взаимодействие между нигерийским провайдером MainOne и китайской China Telecom. Межсетевое взаимодействие между MainOne и Google в штатном режиме осуществляется через нигерийскую точку обмена интернет-трафиком в Лагосе и имеет прямые маршруты к Google, которые утекли к China Telecom при помощи изменения в таблице маршрутизации BGP нигерийского провайдера», – пояснили в ThousandEyes.

Как уже ранее сообщалось нами, китайская государственная интернет компания China Telecom была неоднократно уличена в систематическом перехвате интернет-трафика с целью хищения интеллектуальной собственности.

Кроме того, с недавних пор изменение таблиц маршрутизации крупных транзитных интернет провайдеров с целью угона IP трафика определённой компании и дальнейшего его перехвата, стало возможным довольно широкому кругу лиц благодаря использованию программного обеспечения под названием LOKI 0.2.7, скомпилированного на языке Python для платформы Windows x64.   

Российский телекоммуникационный оператор «Ростелеком» был назначен генеральным  партнером XXII Олимпийских зимних игр 2014 года в Сочи в категории «Телекоммуникации», а компания Avaya — являлась официальным поставщиком Оргкомитета «Сочи 2014» в категории «Телекоммуникационное оборудование».

В сентябре 2012 года «Ростелеком» объявил об открытии на улице Ленина, 2 в Адлерском районе Сочи специализированной площадки, которая в дальнейшем использовалась для формирования и обслуживания всех информационных и телекоммуникационных систем XXII Олимпийских зимних игр 2014 года. Центр обработки данных разместили в здании бывшего районного узла связи. Все работы рекордными темпами были проведены за 10 месяцев.

Это самый крупный объект IT-инфраструктуры Олимпийских игр в Адлере и Сочи. Его общая площадь превышает 2000 кв. метров. В нем разместился целый ряд специализированных служб: центр обработки данных, основной центр телекоммуникаций, центр управления технологиями (TOC), центр управления сетью (NOC), служба технической поддержки (Service Desk, центр обработки вызовов), учебный центр и тестовая лаборатория для интеграции и тестирования информационных систем, которые затем отправлялись для развертывания на других площадках Олимпиады 2014.

Отказоустойчивое функционирование ключевых информационных систем оргкомитета в Москве и Сочи обеспечивал также московский Центр Обработки Данных «Ростелекома», и каждый олимпийский объект был подключен к резервируемой сети достаточной емкости.
Адлерский Центр Обработки Данных — одна из важнейших площадок, которая обслуживала телекоммуникационные и вычислительные потребности Олимпиады 2014 года. После завершения Олимпийских игр её планировали использовать для муниципальных проектов и для нужд учебного центра «Ростелекома».

В настоящее время центр обработки данных расположен в двух помещениях общей площадью 400 кв. метров и включает около сотни стоек для размещения серверов, сетевого и телекоммуникационного оборудования, оснащенный модулями резервного питания комплекс электроснабжения проектной мощностью 2 МВт, систему кондиционирования, пожаротушения и обеспечения безопасности. В системах охлаждения Центра Обработки Данных применяются чиллеры.

Инженерно-техническая инфраструктура объекта включает структурированную кабельную систему Panduit с подсистемами на «витой паре» и волоконно-оптическом кабеле.

Серверные стойки с закупленными ранее «Ростелекомом» серверами HP. В наиболее высоконагруженных стойках используется водяное охлаждение.

В Адлерском Центре Обработки Данных развернуты маршрутизирующие коммутаторы Avaya Virtual Services Platform (VSP) 9000 (внизу). Это решение нового поколения для критически важных центров обработки данных и базовых сетей комплексов зданий, ориентированное на удовлетворение потребностей крупных предприятий и операторов.

Отказоустойчивые коммутаторы VSP 9000 с производительностью 27 Тбит/с (в кластерной конфигурации – более 100 Тбит/с), содержащие в одном шасси до 240 10-гигабитных портов, обслуживают ядро локальной олимпийской сети. VSP 9000 позволяет выстраивать динамические Центр Обработки Данных с гибкой инфраструктурой виртуальных сетей, обеспечивает бесперебойный доступ к приложениям и услугам, упрощает работу сети и способствует сокращению затрат на развертывание новых услуг.

Оборудование Avaya Aura обеспечивает работу приложений Avaya Communication Manager, системы Session Manager, Программное Обеспечение управления инфраструктурой System Mаnager. В состав комплекса унифицированных коммуникаций входят также медиaшлюзы Avaya G450, IP-телефоны, клиенты Flare Experience, пакет Contact Center Elite. Шлюз Avaya G450 — защищенная платформа для приложений IP-телефонии на базе Avaya Communication Manager. Как и другие медиа шлюзы Avaya, шлюз G450 может распространить функциональность и приложения Communication Manager на удаленные площадки. Шасси имеет восемь разъемов для медиа-модулей с интерфейсами подключения к T1/E1, ISDN-BRI, ГВС, линиям цифровой и аналоговой телефонии и аналоговым транкам.

В помещениях Центра Обработки Данных установлена система газового пожаротушения. По всему периметру помещения зала проложены трубы для подачи газа, соединенные с газовыми баллонами. В данной системе используется инертный газ, который не токсичен, безопасен для человека и не дорог при перезарядке баллонов.

Аккумуляторные батареи — важное звено системы электропитания Центра Обработки Данных. Стандарт TIA-942 рекомендует применение в центрах обработки данных герметичных необслуживаемых аккумуляторов, изготовленных по технологии VLRA (свинцово-кислотных герметизированных батарей с регулирующими клапанами).

Источник Бесперебойного Питания компании Emerson Network Power общей мощностью 1,6 МВт сможет обеспечить работу всего Центра Обработки Данных в течение 30 минут. Этого времени достаточно для поддержания работы центра обработки данных при непродолжительных перебоях в электроснабжении и запуска дизель-генераторов. Кроме оборудования ИТ ИБП питают также циркуляционные насосы, обеспечивающие работу системы охлаждения и кондиционирования за счет накопительного бака с водой.

Центр управления технологиями, расположившийся над помещениями Центра Обработки Данных, во время проведения Олимпийских игр работал круглосуточно, обеспечивая разрешение всех инцидентов в сети и оперативное устранение неисправностей.

Среди всех сделок с биткоинами в последнее время одна выделяется особо: угнать интернет-трафик почти двух десятков интернет-компаний специально для того, заполучить несколько сотен свежемайненых биткоинов? Это действительно нечто из ряда вон выходящее.

Специалисты по информационной безопасности из компании Dell SecureWorks выявили ряд инцидентов, в которых нарушители перенаправили часть трафика как минимум 19 интернет-провайдеров, в том числе облачных провайдеров Amazon, Ростелеком, Мегафон, Вымпелком, Укртелеком, DigitalOcean и OVH, чтобы получить криптовалюту.

Каждый раз форвардинг трафика продолжался не более 30 секунд, нарушители осуществили 22 вброса маршрута с помощью пакета LOKI, каждый раз получая во временное управление вычислительные мощности майнинговых пулов. В частности, компьютеры из майнинг-пула перенаправлялись на другой командный сервер, который переводил сгенерированную криптовалюту на свой счёт.

Нарушители специализировались на атаках именно против майнинг-пулов. В один из дней нарушителям удалось получить биткоинов и других видов криптовалюты, включая Dogecoin и Worldcoin, на сумму $9.000. Всего же за всё время деятельности они заработали около $83. 000.

По мнению специалистов Dell SecureWorks, нарушитель применил атаку на BGP-маршрутизаторы — BGP hijacking, используя уязвимости в протоколе BGP (Border Gateway Protocol), который применяется для маршрутизации трафика между большими сегментами интернета. Для публикации ложных инструкций в таблицы маршрутизации BGP они также использовали взломанный аккаунт сотрудника одного из канадских интернет-провайдеров (возможно, сотрудник и сам причастен к этой сделке).

Атаки осуществлялись с февраля по май 2014 года. Специалисты Dell SecureWorks не называют, какой конкретно интернет-провайдер оказался вовлечён в эту операцию.

Техника атаки на BGP-маршрутизаторы известна давно. Например, в 2013 году другой нарушитель использовал этот метод для перенаправления части американского интернет-трафика в Исландию и Беларусь также для получения криптовалюты BitCoin в огромных количествах.