Polski operator INEA wykorzystany w zaawansowanym ataku na obce sieci

dodał 13 września 2014 o 00:00 w kategorii Włamania, Wpadki  z tagami:
Polski operator INEA wykorzystany w zaawansowanym ataku na obce sieci

Polski operator telekomunikacyjny INEA przez większą część sierpnia przekierowywał do swojej sieci ruch internetowy kilku brazylijskich klas adresowych. Dwa dni temu przechwycił tez ruch amerykańskiego Departamentu Obrony.

W zeszłym roku opisywaliśmy ciekawe ataki, polegające na ogłaszaniu w sieci fałszywych tras rutingu. Polegają one na tym, że zaufany operator celowo (najczęściej rękami włamywaczy) informuje swoich partnerów, że obsługuje cudzą klasę adresową. Powoduje to, że do jego sieci trafia ruch przeznaczony dla kogoś innego. Właśnie dowiedzieliśmy się, że w podobny incydent zamieszany jest polski operator telekomunikacyjny INEA a jego problemy trwają od sierpnia.

Manipulacje trasami BGP

Czasem błędne definicje tras rutingu mogą być wynikiem błędu pracownika operatora – tak prawdopodobnie było w przypadku indonezyjskiej firmy, która przez chwilę otrzymywała ruch ponad połowy internetu. Czasem z kolei jest to ewidentnie działanie osób o złych intencjach – tutaj przykładem niech będą niedawne ataki na kopalnie kryptowalut. Jak było w przypadku polskiej firmy? Dużo bardziej prawdopodobny wydaje się ten drugi wariant.

Polski ślad w globalnym spisku

Firma Renesys, monitorująca bezpieczeństwo protokołu BGP, opublikowała własnie podsumowanie niedawnych incydentów wstrzykiwania błędnych tras BGP przez dużych operatorów sieci na całym świecie. Z zaskoczeniem zauważyliśmy, że spora część raportu poświęcona jest operatorowi INEA (oraz Inotel, który został przez INEĘ przejęty). Czym zasłużył się nasz operator?

Jak ustaliła firma Renesys pierwszy poważny incydent z udziałem INEI zaczął się 6 sierpnia 2014. Jej sieć rozgłosiła wtedy dwa nienależące do niej prefiksy:

Śledzenie pakietów z sieci GTS do brazylijskich zakresów adresacji przejętych przez INEĘ wyglądało tak przed incydentem:

a tak w trakcie jego trwania

Jak widać do trasy zostały dodane dodatkowe etapy, prowadzące przez sieć polskiego operatora. Czy mógł to być zwyczajny błąd pracownika? Jest to raczej mało prawdopodobne, ponieważ rozgłaszanie cudzych sieci ustało dopiero pod koniec sierpnia, a więc przez ok. 3 tygodnie INEA „kradła” ruch przeznaczony dla innego operatora. To jednak nie koniec historii.

Atak na amerykański Departament Obrony

10 września INEA zaczęła rozgłaszać prefiks należący do… amerykańskiego Departamentu Obrony ( 128.19.65.0/24) . Co ciekawe, po kilkunastu minutach ten prefiks został zdjęty, a w jego miejscu pojawił się ponownie prefiks sieci brazylijskiej ( 177.200.2.0/23). Tym razem atak trwał ponad dobę i ustał wczoraj.  Wygląda na to, że przejęcie sieci naszych przyjaciół z USA było tylko testem przed właściwym atakiem.

Wizualizacja udziału polskiego operatora w kierowaniu ruchu brazylijskich adresów

Wizualizacja udziału polskiego operatora w kierowaniu ruchu brazylijskich adresów

W jaki sposób włamywacze mogli dostać się do sieci INEI? Tutaj ciekawym tropem jest inny nasz artykuł, poświęcony błędom w usłudze Looking Glass. Ich odkrywcy informowali, że na liście podatnych operatorów znalazły się również firmy z Polski, jednak nie wskazali ich nazw. Firma Renesys informuje, że była wśród nich właśnie INEA. Za pomocą zidentyfikowanych przez badaczy błędów można było w prosty sposób przejmować kontrolę nad kluczowymi ruterami w sieciach operatorów.

Jaki cel chcieli osiągnąć atakujący, przejmując ruch do brazylijskich sieci? Tego niestety nie udało się do tej pory ustalić.

PS. Jeśli czyta nas ktoś kto wie coś więcej o tym ataku i może się (anonimowo) podzielić szczegółami to zapraszamy do kontaktu.