Эпизод кибератаки на МИД РФ в 2014 году

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Современная коммуникационная среда наделяет общество поистине фантастическими возможностями не только в области персональной связи. Она является тем информационным полем, которое пронизывает миллиарды умов и оставляет в них семена мнения, идеологии, восприятия, отношения… Это и есть тот самый инструмент расстановки общественных ориентиров и влияния на коллективное сознание в целом. Вполне естественно, что за владение этим инструментом давно развернулась настоящая битва, которую простому обывателю может быть не видно. В этом материале представлен лишь один эпизод в истории противоборства в киберпространстве, где объектом атаки явилось государственное ведомство России – министерство иностранных дел. Давайте вместе с вами посмотрим на эти события в ретроспективе. Выводы из этого детективного сюжета делайте сами.

Глобальная сеть Интернет состоит из отдельных сетей, которые в терминах протокола междоменной маршрутизации BGP называются автономными системами (Autonomous System - AS). Каждая такая сеть имеет уникальный номер, снабжена частью адресного пространства IP, закреплена за конкретным владельцем и имеет однозначную государственную принадлежность. Всего в мире таких сетей около сотни тысяч. Передача данных между ними (по сути в Интернет) является предметом договорённости сообщества операторов и управляется старым и уязвимым протоколом BGP. Эти отношения напоминают многоквартирный дом, где у каждого в квартире евроремонт, чистота и порядок, а в подъезде пыль, окурки, граффити и мусор.

Начнём историю сначала. В далёком конце 2011 года, МИД России зарегистрировало собственную AS57580, а первый (и долгое время единственный) адресный префикс из 256 адресов IPv4 (194.85.30.0/24) был объявлен в мир Интернет в феврале 2012 года (рисунок 1, [1]). Горизонтальными линиями отмечены длящиеся события объявлений адресных префиксов, указанных по вертикальной оси справа. Цвет этих линий означает количество BGP-коллекторов, наблюдающих BGP-анонсы префиксов. Для нашего случая цвет не важен.

Рисунок 1. Диаграмма использования адресных префиксов AS57580 во времени
Рисунок 1. Диаграмма использования адресных префиксов AS57580 во времени

С тех пор сеть МИД РФ в лице AS57580 стала рядовым участником общемирового BGP-взаимодействия, установила отношения BGP-соседства сначала с сетью AS2854 (ROSPRINT, LLC Orange Buisness Service, RU) [2], а в середине июня 2014 появился маршрут и через AS3216 (SOVAM, Vimpelcom, RU) [3], и не просто так, как увидим далее. В сетевой жизни AS2854 всё было вполне заурядно до 11 января 2013 года, когда внезапно обычные маршруты движения сетевого трафика в сторону МИД РФ вдруг изменились на другие, как показано на рисунке 2 и 3.

Рисунок 2. Граф движения трафика в сторону МИД РФ (AS57580) до 11 января 2013 года [4].
Рисунок 2. Граф движения трафика в сторону МИД РФ (AS57580) до 11 января 2013 года [4].

До указанной даты множество сетей направляют трафик в AS57580 почти полностью через сети AS1299 и AS20764 и далее через AS2854 в МИД РФ. Эти маршруты образуют на графе толстые связи. Обратите внимание на сеть AS9002 (RETN Limited, United Kingdom, отмечена на рисунке 2 стрелкой). Эта также сеть умеет направить трафик в МИД РФ, традиционно через AS2854, но через неё (тоже почти) не проходит трафик в МИД РФ из других сетей. Значимость AS9002 как транзитной сети для трафика МИД РФ близка к нулю.

Рисунок 3. Граф движения трафика в сторону МИД РФ (AS57580) после 11 января 2013 года [5].
Рисунок 3. Граф движения трафика в сторону МИД РФ (AS57580) после 11 января 2013 года [5].

И вот, 11 января 2013 года (точное начало процесса изменения маршрутов 2013-01-11 08:17:38 UTC), обычные маршруты трафика в МИД РФ внезапно истончаются, а маршруты через AS9002 напротив наполняются. RETN перетягивает транзит к IP-адресам AS57580 и становится значимым транзитным узлом для трафика МИД РФ. Это случилось, вероятно, из-за одномоментного исчезновения оптимальных BGP-маршрутов через AS1299 и AS20764. Анализ маршрутной динамики указывает на вероятную причину - маршруты пропали на route-серверах в Лондоне. Иначе трудно объяснить новое предпочтение многими AS ранее существовавших и заведомо более длинных маршрутов с препендами, таких как этот (prepend – приём логического удлинения пути в BGP-атрибуте AS_PATH, используемый для балансировки входящего трафика [8]):

"target_prefix": "194.85.30.0/24",
"source_id": "00-195.47.235.100",
"path": [
          6881,
          9002,
          9002,
          9002,
          9002,
          9002,
          2854,
          57580
        ],
"community": []

Поскольку множество BGP-маршрутов других сетей через AS1299 и AS20764 не претерпели сколько-нибудь серьёзных изменений, вывод о целевом воздействии на маршрутизацию в сеть МИД остаётся очень вероятным.

Таким образом, анализ маршрутной динамики позволяет предположить следующий сценарий произошедшего: Некто с большими глазами наблюдает сетевые линки европейских операторов, особенно AS9002 RETN. Этот некто испытал интерес к наблюдению трафика МИД РФ. Имея возможность влияния на содержимое route-серверов, некто удалил с них текущие маршруты в сеть МИД РФ так, что часть транзитного трафика в AS57580 направилась через AS9002. Это сделало возможным наблюдение значимой части сетевого трафика МИД РФ в контролируемом канале связи. Хуже того, это сделало возможным атаки на информационные ресурсы МИД РФ по вектору MITM.

Возможно ли повлиять на маршрутизацию на сервере маршрутов (Route Server, RS) в точках обмена трафиком (Internet eXchange, IX)? Я не знаю как и кем именно управляется сервер маршрутов в обычной жизни IX. Предположу, что для участников обмена IX выглядит как обычный BGP-сосед. Т.е. участник может управлять только своими BGP-анонсами. Ни про какие route servers (RS) участник не знает. А вот на стороне IX уже есть RS и власть распорядиться собранными от участников маршрутами по собственному усмотрению. IX может влиять на политику: отдать маршруты всем или не всем, фильтровать их, что-то с ними делать, корректировать атрибуты. Это добрая воля IX — предоставить участникам ограниченную возможность доступа к RS, скорее всего это не норма. Роль участника проста: отдать свои маршруты и получить то, что IX посчитал нужным отдать. Поправьте меня, если не так.

Если причины произошедшего определены верно, то можно сделать следующие вероятные выводы: На систему глобальной BGP-связности в январе 2013 г. было совершено воздействие с целью перенаправления целевого сетевого трафика в контролируемый канал связи. Предположительно, точкой воздействия явились route-серверы в Лондоне. Кто именно осуществил эти действия, остаётся только догадываться. Вместе с тем, отсутствуют признаки того, что в этом замешан оператор AS9002 RETN.

И это ещё не всё, самое интересное только начинается.

Сетевая жизнь МИД РФ в лице AS57580 продолжилась. В течение следующего года естественная динамика BGP-маршрутов в европейских сетях постепенно размывает концентрацию трафика МИДовского маршрута в линке AS9002 → AS2854. Некто с большими глазами, вероятно, достиг своей первичной цели, его интерес к наблюдению этого трафика постепенно угасает. Это видно по статистике концентрации трафика МИД РФ в сетевом линке (концентрация трафика в направлении IP-адресов префикса в произвольном удалённом линке оценивается на основе статистических моделей, обзор которых выходит за рамки статьи).

В этом месте мировой истории случились социальные потрясения, в ходе которых Крым изменил государственную принадлежность. Эти обстоятельства сильно подогрели интерес к сетевой активности МИД РФ в киберпространстве. Примерно 26 февраля 2014 года на маршрутах в адресный префикс МИД РФ стали появляться атрибуты BGP community такого вида:

"community": [
                    "0:2854",
                    "0:8615",
                    "0:8641",
                    "0:8997",
                    "0:9123",
                    "0:13002",
                    "0:16083",
                    "0:20525",
                    "0:21156",
                    "0:25478",
                    "0:30968",
                    "0:31376",
                    "0:31484",
                    "0:34456",
                    "0:39578",
                    "0:41691",
                    "0:41733",
                    "0:43966",
                    "0:44030",
                    "0:44270",
                    "0:48515",
                    "0:48940",
                    "0:49641",
                    "0:50060",
                    "0:50258",
                    "0:50384",
                    "0:50771",
                    "0:51015",
                    "0:51669",
                    "1103:101",
                    "1103:1000",
                    "3216:5210",
                    "3216:5900",
                    "20764:3002",
                    "20764:3021",
                    "65077:100"
                ]

Сетевые инженеры поймут назначение этих атрибутов. Для непосвященных поясню, что значение 0:2854, как и другие аналогичные, предписывают маршрутизатору отказаться от объявления BGP-маршрута в сторону AS2854. Необычно длинный список BGP-community в совокупности со своим содержимым по сути представляет собой прямое воздействие на процесс распространения BGP-маршрута с префиксом МИД РФ. Исследования воздействий на систему маршрутизации по этому вектору были позднее представлены европейскими коллаборациями на конференциях Internet Measurement Conference в 2018 г. в США и International Conference on emerging Networking EXperiments and Technologies в 2020 г. в Испании [6,7]. Замечу, что тема исследований весьма редкая, авторов лучше запомнить.

Воздействия по вектору community на систему глобальной маршрутизации в 2014 году были множественные и имели целью изменить пути передачи сетевой нагрузки в МИД РФ, перенести её в контролируемые каналы/узлы связи. Характер содержимого в атрибутивной части BGP-маршрута в сеть МИД РФ и его изменение во времени свидетельствует о том, что это воздействие не было подготовлено и не моделировалось. Атакующий интуитивно предпринимал несколько разнообразных попыток с различными значениями атрибутов BGP-community на нескольких направлениях маршрутизации в разное время. В приведённом выше примере длинного списка BGP-community с запретами анонсов вы тоже не видите AS9002? Это может быть совпадением, но динамика маршрутов в результате нового воздействия активно затрагивает эту сеть. Напомню, это всё происходит в европейском сегменте глобальной сети Интернет, из чего внимательный аналитик сделает правильные выводы, но не расскажет о них J.

В результате описанных попыток воздействия на пути движения сетевого трафика к ресурсам МИД РФ в течение относительно длительного времени, граф связности по префиксу МИДа 194.85.30.0/24 в европейском сегменте Интернет постоянно перестраивается, не в состоянии достичь конвергентного состояния. Далее моё обоснованное предположение: естественным следствием становится ухудшение качества связи с информационными ресурсами в сети МИД РФ. RTT непредсказуемо скачет, временами пропадает связность, вероятный процесс манипуляции с трафиком МИД, организованный атакующим, мог добавить проблем пользователям информационных ресурсов ведомства. Если некто получил в контролируемом канале целевой трафик AS57580, то у него могло появиться желание манипулировать им, а не просто наслаждаться его копией. Представляю недовольство администраторов AS57580 (МИД РФ), восклицающего: «Ну что за такой плохой интернет у нас на аплинке с Orange!». В это время инженеры Orange пожимают плечами и чешут затылки. В их сети с евроремонтом полный технический порядок.

Полагаю, именно плохое качество связи содействовало решению администрации AS57580 задействовать второй аплинк с AS3216 (Вымпелком), что и было реализовано. 10.06.2014 был объявлен новый BGP-маршрут, сеть МИД РФ встала в киберпространстве двумя ногами. Строго говоря, отношение BGP-соседства AS57580 с AS3216 было и ранее, впервые эта связь упоминается в атрибутах BGP-community 28 июля 2012 г. Вероятно, этот аплинк всегда был задействован для исходящего трафика, а в июне 2014 стал использоваться и для входящего тоже. Таким образом следует заключить, что вторая фаза воздействия на маршрутно-адресные ресурсы МИД РФ продлилась более трёх месяцев. Некто с большими глазами должен был разочароваться появлением нового BGP-маршрута, трафик в МИД РФ стал передаваться большим числом маршрутов, растёкся по глобальной сети.

Есть ещё и третья часть балета вокруг AS57580. Дальше происходит то, что не укладывается в обычную инженерную логику. Спустя примерно месяц, в июле 2014 г. AS57580 (МИД РФ) начинает искусственно удлинять маршруты в свой единственный адресный префикс и делает это одновременно на всех аплинках, как показано ниже в таблице.

Аплинк в AS3216 Вымпелком

Аплинк в AS2854 Orange

по состоянию на 23:00 20.07.2014 г.

"target_prefix": "194.85.30.0/24",

"source_id": "00-12.0.1.63",

"path": [

7018,

6453,

3216,

57580,

57580,

57580

]

"target_prefix": "194.85.30.0/24",

"source_id": "00-176.12.110.8",

"path": [

50300,

20764,

2854,

57580,

57580,

57580

]

по состоянию на 23:00 20.09.2014 г.

"target_prefix": "194.85.30.0/24",

"source_id": "03-193.111.172.5",

"path": [

20562,

3216,

57580,

57580,

57580

]

"target_prefix": "194.85.30.0/24",

"source_id": "01-195.66.224.132",

"path": [

29636,

20764,

2854,

57580,

57580,

57580,

57580,

57580,

57580,

57580,

57580

]

Искусственное удлинение маршрута повторением собственного номера AS в транзитивном атрибуте BGP AS_PATH (prepend) необходимо для создания условий проигрыша такого маршрута перед другими маршрутами в одну и ту же сеть. Этот приём активно используется администраторами AS для уменьшения входящего трафика по аплинку, т.е. для балансировки нагрузки [8]. Это всё равно, что пробка с отверстиями. Но зачем затыкать пробками сразу оба аплинка? Причин может быть несколько:

  1. Некто с большими глазами как то добрался до граничных маршрутизаторов AS57580 и внёс в их настройки изменения, позволяющие управлять конкуренцией BGP-маршрутов в произвольной области киберпространства. Не шучу сейчас;

  2. Администратор AS57580 не особо заботился о состоянии графа маршрутизации в свою сеть, не принял во внимание риски достижения атрибутом AS_PATH предельных значений длины в дальних уголках глобальной сети Интренет и возможную утрату связности по этой причине.

В любом случае, такое состояние атрибута AS_PATH для сети МИД РФ таит в себе множество рисков и создает предпосылки для новых векторов воздействия на пути движения трафика в AS57580. Ситуация со странными значениями AS_PATH prepend продлилась до начала февраля 2016 г., затем в маршрутах AS57580 появились адекватные значения атрибутов. Вопрос «что это было?» оставим для тех, кому надо и для IT-администрации AS57580.

Поясню, как работает prepend. Маршрут в некоторую сеть объявляется оригинатором, например, в два разных линка к двум BGP-соседям. На некотором далёком маршрутизаторе эти маршруты обязательно встретятся и будут конкурировать между собой. Чей путь от сети оригинатора до маршрутизатора окажется короче, тот и выиграл. Если администратор желает, чтобы маршруты через один из линков заведомо были слабее, он удлиняет атрибут AS_PATH повторением номера своей AS. Совершенно очевидно, что одновременное удлинение маршрутов во всех линках никак не влияет на результат их конкуренции между собой. Зато каждый препенд расширяет область глобального Интернет, где поддельный маршрут победит в случае атаки на систему маршрутизации по вектору угона BGP-префикса.

На этом, пожалуй, закончим разбираться в этом старом эпизоде противоборства в киберпространстве. Теперь главный вопрос: «а был ли мальчик?», не является ли версия об атаке на сеть МИД в 2014 году надуманной? Достоверно это никто из простых людей не знает. Да и можно ли такое воздействие на систему связности вообще назвать атакой? Есть три канонических вектора, признанных атаками на BGP-связность: MOAS, FakePath и Defcon#16. Такого типа атаки, как описано для AS57580, к ним не относятся, надёжно детектировать их как атаки не представляется возможным. Но несомненно, есть признаки, которые указывают на возможное воздействие. В случае AS57580, на мой взгляд, эти признаки яркие и объективные.

Теперь, собственно, про цель публикации. На днях сеть AS57580 снова всем своим BGP-соседям раздала маршруты с препендами, с искусственным удлинением, можете проверить [9]. Это расширяет возможности для управления конкуренцией маршрутов в Интернет третьим транзитным сетям и абсолютно не соответствует истинному предназначению AS_PATH prepend для сети МИД РФ. Зачем администраторы это сделали (если они)? Как я могу иначе обратить внимание на безопасность сети МИД РФ в киберпространстве, как не публикацией?

Нашей командой разработаны методы эффективного противодействия описанным в статье случаям, основанные на получении множества состояний глобальной связности по адресному префиксу и динамическом переключении между ними (управляемая динамика маршрутного графа). Моделирование такой защиты показывает хорошие результаты, необходимо довести работу до актуального применения и совершенствовать. Надеюсь, публикация заинтересует ведомство, а также иных участников глобальных сетевых взаимодействий. В программное обеспечение маршрутизаторов отечественного производства также могут быть внесены полезные изменения.

Источники

  1. Данные RIPE NCC

  2. https://stat.ripe.net/data/bgp-state/data.json?resource=194.85.30.0/24&timestamp=2012-03-01T12:00

  3. https://stat.ripe.net/data/bgp-state/data.json?resource=194.85.30.0/24&timestamp=2014-06-14T12:00

  4. https://stat.ripe.net/ui2013/194.85.30.0/24#tabId=routing&routing_bgplay.ignoreReannouncements=false&routing_bgplay.resource=194.85.30.0/24&routing_bgplay.starttime=1357016400&routing_bgplay.endtime=1357794000&routing_bgplay.rrcs=0,1,2,5,6,7,10,11,13,14,15,16,18,20&routing_bgplay.instant=null&routing_bgplay.type=bgp

  5. https://stat.ripe.net/ui2013/194.85.30.0/24#tabId=routing&routing_bgplay.ignoreReannouncements=true&routing_bgplay.resource=194.85.30.0/24&routing_bgplay.starttime=1357963200&routing_bgplay.endtime=1358827200&routing_bgplay.rrcs=0,1,2,3,4,5,6,7,10,11,12,13,14,15,16,18,19,20,21&routing_bgplay.instant=null&routing_bgplay.type=bgp

  6. BGP Communities: Even more Worms in the Routing Can

  7. Keep your communities clean: exploring the routing message impact of BGP communities

  8. https://linkmeup.gitbook.io/sdsm/8.-bgp-i-ip-sla/2.-bgp/4.-balansirovka-nagruzki

  9. https://stat.ripe.net/data/bgp-state/data.json?resource=93.157.56.0/24&timestamp=2021-07-21T12:00

Источник: https://habr.com/ru/post/572890/


Интересные статьи

Интересные статьи

Открытые данные в России, официально существуют уже 8 лет, 10 июня 2013 года был мой пост на хабре о принятии соответствующего закона.Что изменилось за эти годы? Стало ли...
Все «за» и «против» 1С-Битрикс, какие есть альтернативы и что выгоднее знать разработчику? Читать далее
Всем привет! Я много пишу на Хабре о развитии своих проектов. Один из них – стартап Linguix.com, это AI-based writing assistant, то есть продукт, который помогает не-носи...
Приглашаем к участию в конкурсе хабраавторов. Самое главное в Хабре — это его читатели, которые одновременно и авторы. Без них Хабра бы не существовало. Поэтому нам всегда интересно, как у них...
Если честно, к Д7 у меня несколько неоднозначное отношение. В некоторых местах я попискиваю от восторга, а в некоторых хочется топать ногами и ругаться неприличными словами.