13.09.2014 | 00:00

Adam Haertle

Polski operator INEA wykorzystany w zaawansowanym ataku na obce sieci

Polski operator telekomunikacyjny INEA przez większą część sierpnia przekierowywał do swojej sieci ruch internetowy kilku brazylijskich klas adresowych. Dwa dni temu przechwycił tez ruch amerykańskiego Departamentu Obrony.

W zeszłym roku opisywaliśmy ciekawe ataki, polegające na ogłaszaniu w sieci fałszywych tras rutingu. Polegają one na tym, że zaufany operator celowo (najczęściej rękami włamywaczy) informuje swoich partnerów, że obsługuje cudzą klasę adresową. Powoduje to, że do jego sieci trafia ruch przeznaczony dla kogoś innego. Właśnie dowiedzieliśmy się, że w podobny incydent zamieszany jest polski operator telekomunikacyjny INEA a jego problemy trwają od sierpnia.

Manipulacje trasami BGP

Czasem błędne definicje tras rutingu mogą być wynikiem błędu pracownika operatora – tak prawdopodobnie było w przypadku indonezyjskiej firmy, która przez chwilę otrzymywała ruch ponad połowy internetu. Czasem z kolei jest to ewidentnie działanie osób o złych intencjach – tutaj przykładem niech będą niedawne ataki na kopalnie kryptowalut. Jak było w przypadku polskiej firmy? Dużo bardziej prawdopodobny wydaje się ten drugi wariant.

Polski ślad w globalnym spisku

Firma Renesys, monitorująca bezpieczeństwo protokołu BGP, opublikowała własnie podsumowanie niedawnych incydentów wstrzykiwania błędnych tras BGP przez dużych operatorów sieci na całym świecie. Z zaskoczeniem zauważyliśmy, że spora część raportu poświęcona jest operatorowi INEA (oraz Inotel, który został przez INEĘ przejęty). Czym zasłużył się nasz operator?

Jak ustaliła firma Renesys pierwszy poważny incydent z udziałem INEI zaczął się 6 sierpnia 2014. Jej sieć rozgłosiła wtedy dwa nienależące do niej prefiksy:

177.39.184.0/23 oraz 
187.106.32.0/19

Śledzenie pakietów z sieci GTS do brazylijskich zakresów adresacji przejętych przez INEĘ wyglądało tak przed incydentem:

 trace from Warsaw, Poland to Revo Telecomunicaç?es at 00:35 Aug 05, 2014 
1 *
2 217.153.202.161   (GTS Poland Sp. z o.o., Warsaw, PL)             0.952
3 193.85.195.94     (GTS Czech s.r.o.,Prague, CZ)                   17.065
4 * 
5 4.69.154.200      ae-4-90.edge4.Frankfurt1.Level3.net             17.222
6 4.68.63.242       glbx-level3-10G.Frankfurt1.Level3.net           25.666
7 189.125.13.178    (Revo Telecomunicaç?es, Porto Alegre, BR)       248.358
8 177.39.185.10     (Revo Telecomunicaç?es, Guarulhos, BR)          251.24
9 177.39.190.8      (Gm Telecom Ltda, Palmitinho, BR)               251.609

a tak w trakcie jego trwania

 trace from Warsaw, Poland to Revo Telecomunicaç?es at 17:10 Aug 06, 2014 
1  *
2  217.153.202.161  (GTS Poland Sp. z o.o., Warsaw)                 1.119ms
3  157.25.248.142   (GTS Poland Sp. z o.o., Warsaw)                 0.397ms
4  185.1.4.2        inea-gw.pix.net.pl                              5.407ms
5  62.21.99.161     rt1-owsiana-vlan503.core.icpnet.pl, Poznań, PL) 5.407ms
6  62.21.99.6       rt1-oswiecenia-vlan407.core.pl, Poznań, PL)     5.608ms
7  212.73.253.137   (Level 3, Frankfurt, DE)                        27.76ms
8  4.69.153.69      ae-9-9.ebr4.Frankfurt1.Level3.net               27.74ms
9  4.69.163.22      ae-74-74.csw2.Frankfurt1.Level3.net             27.65ms
10 4.69.154.72      ae-2-70.edge4.Frankfurt1.Level3.net             27.743ms
11 4.68.63.242      glbx-level3-10G.Frankfurt1.Level3.net           27.854ms
12 189.125.13.178   (Revo Telecomunicaç?es, Porto Alegre, BR)       249.385ms
13 177.39.184.194   (Revo Telecomunicaç?es, Porto Alegre, BR)       248.138ms
14 *

Jak widać do trasy zostały dodane dodatkowe etapy, prowadzące przez sieć polskiego operatora. Czy mógł to być zwyczajny błąd pracownika? Jest to raczej mało prawdopodobne, ponieważ rozgłaszanie cudzych sieci ustało dopiero pod koniec sierpnia, a więc przez ok. 3 tygodnie INEA „kradła” ruch przeznaczony dla innego operatora. To jednak nie koniec historii.

Atak na amerykański Departament Obrony

10 września INEA zaczęła rozgłaszać prefiks należący do… amerykańskiego Departamentu Obrony ( 128.19.65.0/24) . Co ciekawe, po kilkunastu minutach ten prefiks został zdjęty, a w jego miejscu pojawił się ponownie prefiks sieci brazylijskiej ( 177.200.2.0/23). Tym razem atak trwał ponad dobę i ustał wczoraj.  Wygląda na to, że przejęcie sieci naszych przyjaciół z USA było tylko testem przed właściwym atakiem.

Wizualizacja udziału polskiego operatora w kierowaniu ruchu brazylijskich adresów

Wizualizacja udziału polskiego operatora w kierowaniu ruchu brazylijskich adresów

W jaki sposób włamywacze mogli dostać się do sieci INEI? Tutaj ciekawym tropem jest inny nasz artykuł, poświęcony błędom w usłudze Looking Glass. Ich odkrywcy informowali, że na liście podatnych operatorów znalazły się również firmy z Polski, jednak nie wskazali ich nazw. Firma Renesys informuje, że była wśród nich właśnie INEA. Za pomocą zidentyfikowanych przez badaczy błędów można było w prosty sposób przejmować kontrolę nad kluczowymi ruterami w sieciach operatorów.

Jaki cel chcieli osiągnąć atakujący, przejmując ruch do brazylijskich sieci? Tego niestety nie udało się do tej pory ustalić.

PS. Jeśli czyta nas ktoś kto wie coś więcej o tym ataku i może się (anonimowo) podzielić szczegółami to zapraszamy do kontaktu.

Powrót

Komentarze

  • 2014.09.13 08:17 badoos

    Nie oceniam czy to ma związek ale ostatnio pewien oddział z południa kraju zaopatrywał się w nowe Junipery

    Odpowiedz
  • 2014.09.13 09:32 Alan

    Mam Inea, ale nie odczułem ataku. Mam IP publiczne, jestem podpięty do infrastruktury Inea, ale na speedtescie pokazuje mi Providera: HAWE TELEKOM SP. Z.O.O. na ich stronie, napisane jest iż dostarczają światłowody do Inei.

    Odpowiedz
    • 2014.09.15 07:54 stefan

      Mieszkasz w Kłodawie lub okolicach?

      Odpowiedz
  • 2014.09.13 14:56 Pafcio

    Ten atak zapewne nic nie mial na celu,po prostu odkryto taka mozliwosc w kolejnych sieciach i prawdopodobnie jest ona testowana i analizowana bez zadnego zastosowania.Druga opcja-takie ataki sa atakami na duza skale,moze chodzic po prostu o megapodsluch i zbieranie metadanych na duza skale przez jakis kolejny program typu Echelon.

    Odpowiedz
  • 2014.09.13 16:12 Daxoop

    Czy zmieniając dodatatecznie dużo tras da się „wyłączyć” internet, tak aby wiekśzość pakietów trafiało w „próźnię” ? To by było ciekawe gdyby na raz wszędzie na świeci zmienili i byłby tydzień bez neta :)

    Odpowiedz
  • 2014.09.13 19:38 Waszi

    Mocno do propagacji ścieżek przyczynił się węzeł wymiany ruchu PIX, gdzie na mój stan więdzy nie ma żadnych automatycznych filtrów BGP (na podstawie RIPE jak w TPIX czy PLIX). Co zatem dalej idzie na załączonym przykładzie GTS łyknął bez weryfikacji, pozostali operatorzy podobnie i prefiksy rozeszły się dalej po kraju.

    http://bgp.he.net/AS13110 – patrząc na listę łaczy które wykorzystuje INEA (+ IXy w których wiem, że są)
    – Level3 – filtry
    – Telia – filtry
    – Retn – filtry
    – ATM – filtry
    – Hurricane – brak filtrów
    – PIX – brak filtrów
    – TPIX – filtry
    – PLIX – filtry

    mogę śmiało stwierdzić, że całe zdarzenie nie doszło by do skutku gdyby nie brak filtrów w PIX i Hurricane.

    Odpowiedz
    • 2014.09.13 21:01 Adam

      Ten słynny Waszi od ratowania Niebezpiecznika? :) Dzięki za tak rzadki w dzisiejszym świecie komentarz, który wnosi wiele ciekawego do tematu! Chyba czas napisać do PIXa :)

      Odpowiedz
  • 2014.09.13 20:21 Ziomek

    Waszi, po twoim odejsciu w tej firmie nie ma juz admina z prawdziwego zdarzenia, przyjmuja tylko jakis leszczy. Dlaczego nie dziwi mnie ta sytuacja?

    Odpowiedz
  • 2014.09.13 22:00 Lukasz

    Ciekawe to…
    mimo, że ruch szedł przez Ineę, to i tak trafiał do właściwego celu i to jeszcze o kilka ms szybciej niż wcześniejsza trasa GTSu… Jakie to więc fałszywe rozgłaszanie? Może po prostu komuś coś cię omcknęło i zrobił z siebie tranzyt dla innych operatorów. :)

    Odpowiedz
    • 2014.09.13 22:53 Adam

      I tak mi się wysoki sądzie omsknęło kilka razy pod rząd i zawsze trafiało na ten sam kraj ;)

      Odpowiedz
  • 2014.09.15 08:00 stefan

    To ciekawe, co piszecie o Looking Glassie.
    Szczególnie, że INEA nigdy nie dawała dostępu do LG.

    Odpowiedz
    • 2014.09.15 09:24 Adam

      To faktycznie ciekawe, bo albo kłamie Renesys albo autorzy pracy o LG. Napiszemy do obu w tej sprawie.

      Odpowiedz
      • 2014.09.15 09:44 stefan

        Możliwe, że któryś z klientów INEI mających z nią styk BGP, lub któraś sieć przez INEĘ przejęta (kupili wielu okolicznych lokalnych operatorów) ma lub miała podatnego LG. W przypadku wykorzystania takiej podatności jasne staje się również, że INEA nie do konca panuje nad prefixlistami…

        Odpowiedz
      • 2014.09.15 11:56 elceef

        Warto zwrócić uwagę na fakt, że od 6 sierpnia 2014 prefiks 177.39.184.0/23 (brazylijski REVO TEL) był rozgłaszany przez AS33868 (PERFEKT-NET-POLAND) – jednego z klientów INEA. Announce BGP ze względu na brak filtrów przeszły przez PIX i Hurricane Electric. HE akurat peer-uje się ze wszystkimi, ale najczęściej przez najniższe local-preference. PIX to stosunkowo niewielki polski IXP i gdyby nie obecność większego uczestnika, czyli GTS to ten incydent mógłby zostać niezauważony.
        PERFEKT-NET-POLAND (AS33868) do niedawna oferował usługę looking glass pod adresem lg.net.perfekt.pl opartą na dziurawym skrypcie MRLG4PHP w wersji 1.0.7. Błąd umożliwiał zdalne wykonanie poleceń na routerze i mógł być wykorzystany przez włamywaczy. Obecnie usługa nie jest już dostępna.

        Odpowiedz
    • 2014.09.15 21:38 rozie

      Mylisz się. Inea jak najbardziej dawała dostęp do LG. Na przynajmniej jednym z routerów.

      Odpowiedz
      • 2014.09.15 21:42 stefan

        Hmmm… W AS 13110, czy w którymś z wielu innych?

        Odpowiedz
        • 2014.09.16 06:42 rozie

          W innym.

          Odpowiedz
          • 2014.09.16 07:29 stefan

            Ok, to się zgadzam.
            Ja miałem na myśli AS 13110.

  • 2014.09.15 09:10 Peter

    Operator taki jak GTS również powinien mieć filtry a nie ufać wszystkiemu co mu ktoś podeśle. Przecież można posiadać prosty filtr który wycina sieci z takiego np PIX gdy zwierają ASN któregoś z Tier1.

    Odpowiedz
    • 2014.09.15 11:32 Kot Bezpieczeństwa

      Można. A należy? Trend na trucie BGP jest znany, a u jego podstaw leżą błędy w konfiguracji i utrzymaniu, natomiast wczesniej to nie wyszło, bo nikt nie przyjrzał się im uważnie. Jeżeli ktoś bierze się za bycie ISP, jego obowiązkiem jest pilnować trendów i oczywistych podstaw, robienie czegokolwiek ponad standardowy, ogólny monitoring jest absurdalne, bo musieliby pilnować wielu rzeczy więcej. Na mniejszą skalę, jeżeli robię jakiś projekt w zespole to zakładam, że z grubsza wie co robi, i obsługuję ewentualnie rzeczy, których w miarę się spodziewam. Jeżeli system się wywali, bo zależna klasa podzieliła przez zero albo dropnęła bazę, to mimo że może i mógłbym temu zapobiec, ale tego nie zrobię, bo bym padł w mnogości double i triple checków każdego błędu, który mógłby się wydarzyć.

      Odpowiedz
    • 2014.09.15 13:53 aaaaa

      Co więcej – PIX posiada narzędzia chroniące jego użytkowników przed takimi sytuacjami. Ze strony ripe:
      https://apps.db.ripe.net/search/lookup.html?source=ripe&key=AS44896&type=aut-num

      cytuję:
      remarks: All prefixes verified with as-set: AS-PIX are
      remarks: marked with 44896:0

      Wystarczy aby każdy z uczestników akceptował tylko prefiksy z tym community.
      Najwyraźniej GTS i Hurricane tego nie zrobił.

      Odpowiedz
  • 2014.09.16 15:44 stefan

    A czy sama INEA w ogóle komentuje jakoś tą sytuację?

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Polski operator INEA wykorzystany w zaawansowanym ataku na obce sieci

Komentarze