O tráfego da internet destinado a mais de 200 das maiores redes de entrega de conteúdo (CDNs) do mundo e provedores de hospedagem na nuvem foi redirecionado recentemente através do provedor de telecomunicações estatal russo Rostelecom.
Enquanto o incidente durou apenas cerca de uma hora, afetou mais de 8.800 rotas de tráfego da Internet em mais de 200 redes. As empresas impactadas pelo seqüestro do BGP incluem Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner, Linode e outros.
O BGP (Border Gateway Protocol) é o sistema de fato usado para rotear o tráfego da Internet entre redes da Internet em todo o mundo. No entanto, o sistema tem uma falha importante, pois qualquer uma das redes participantes pode mentir e publicar um anúncio (rota BGP), no qual afirma que os servidores de outras empresas estão em sua rede. Outras entidades da Internet verão o anúncio como legítimo e, em seguida, enviarão todo o tráfego da empresa para os servidores do seqüestrador.
Antes que o HTTPS fosse amplamente adotado, os seqüestros de BGP permitiam que os invasores executassem ataques man-in-the-middle (MitM) e interceptassem e alterassem o tráfego da Internet. Atualmente, os seqüestros de BGP continuam a ser uma ameaça, porque permitem que um invasor registre o tráfego para analisá-lo e descriptografá-lo posteriormente, depois que a criptografia usada para protegê-lo for quebrada.
Seqüestro de BGP
Segundo os especialistas, nem todos os seqüestros de BGP são maliciosos, pois muitas vezes podem ser o resultado de um operador humano digitar incorretamente um ASN (número de sistema autônomo) e sequestrar o tráfego da Internet da empresa acidentalmente. No entanto, algumas telecomunicações continuam a estar regularmente atrás dos sequestros do BGP, o que sugere que eles são mais do que apenas acidentes.
Atualmente, a China Telecom está por trás da maioria dos sequestros de BGP, mas a Rostelecom também está por trás de muitos incidentes suspeitos.
Em 2017, o provedor de telecomunicações estatal da Rússia sequestrou rotas de BGP para algumas das maiores empresas financeiras do mundo, incluindo Visa, Mastercard, HSBC e muito mais. A divisão BGPMon da Cisco descreveu o incidente como “curioso” na época, porque parecia afetar apenas os serviços financeiros, em oposição aos ASNs de resgate.
Em relação ao último incidente, o júri ainda está de fora quando o fundador da BGPMon, Andree Toonk, publicou um post no Twitter para explicar que o sequestro pode ter ocorrido depois que um sistema interno de modelagem de tráfego da Rostelecom pode ter exposto acidentalmente as rotas incorretas do BGP na Internet pública, dizendo:
“Pelo que vale: eu não acho que eles pretendiam anunciar isso para o resto do mundo (sequestro). O que vimos aqui, por acidente, é que eles tratam esses prefixos (novos e mais específicos) especiais dentro de sua rede. Provavelmente por algum tipo de “engenharia de tráfego”. “
No entanto, especialistas apontaram no passado que é possível fazer com que um seqüestro intencional de BGP pareça um acidente, o que poderia ser o caso aqui.
Saiba mais sobre este tipo de problemas em nosso setor especializado em segurança digital.
