سرقت ترافیک غول‌های فناوری توسط روسیه‎

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

q382

 

ترافیک شرکت‌های گوگل، فیس‌بوک، اپل و مایکروسافت از طریق یک ارائه‌دهنده‌ اینترنت ناشناخته روسی هدایت شد.

به گزارش كارشناسان دژپاد،هفته گذشته یک حادثه‌ مشکوک اتفاق افتاد؛ ترافیک شرکت‌های بزرگ فناوری مانند گوگل، فیس‌بوک، اپل و مایکروسافت از طریق یک ارائه‌دهنده‌ اینترنت روسی که قبلا ناشناخته بود، هدایت شد. این رویداد روز چهارشنبه رخ داد و پژوهشگرانی که این رویداد را بررسی می‌کنند بر این باورند که این ترافیک به‌طور عمدی به سرقت رفته‌است.

این حادثه شامل پروتکل دروازه‌ای مرزی (BGP) اینترنت است که برای هدایت ترافیک در میان ستون فقرات اینترنت، ارائه‌دهندگان سرویس‌های اینترنتی و دیگر شبکه‌های بزرگ مورد استفاده قرار می‌گیرد.

هشت‌ماه پیش حادثه‌ مشابهی اتفاق افتاده‌بود که در آن حادثه نیز مقدار زیادی از ترافیک شرکت‌های ویستا، مسترکارت و بیش از ده‌ها شرکت ارائه‌دهنده‌ سرویس‌های مالی از طریق یک متصدی مخابراتی که تحت کنترل روسیه بود، هدایت شد.

سرویس نظارت بر اینترنت BGPMon در یک پست وبلاگی اظهار کرد: «اوایل صبح امروز سامانه‌های ما یک رویداد مشکوک را شناسایی کردند که در آن پیشوند‌های مربوط به مقصدهای سطح بالا توسط یک سامانه مستقل روسی غیرقانونی منتشر شدند. از ساعت ۰۴:۴۳ یو‌تی‌سی، ۸۰ پیشوند که معمولا توسط سازمان‌هایی مانند گوگل، اپل، فیس‌بوک، مایکروسافت، Twitch، ارتباطات NTT، Riot Games منتشر می‌شوند در جدول‌های مسیریابی BGP جهانی با یک منبع AS۳۹۵۲۳، خارج از روسیه، شناسایی شدند. با مشاهده‌ جدول زمانی می‌توانیم دو پنجره‌ رویداد را ببینیم که هر کدام حدود سه دقیقه طول کشیده‌است. اولین مورد در ساعت ۰۴:۴۳ UTC آغاز شده و حدود ۰۴:۴۶ UTC به پایان رسیده‌است. رویداد دوم ساعت ۰۷:۰۷ UTC شروع شده و ۰۷:۱۰ UTC به اتمام رسید.»

BGPMon دو رویداد متمایز را مشاهده کرد که در مجموع 6 دقیقه طول کشیدند و ۸۰ بلوک آدرس مجزا را تحت‌تاثیر قرار دادند.

سرویس نظارت دیگری به نام Qrator Labs، اعلام کرد که دو ساعت طول کشید تا تعداد بلاک‌های آدرس به سرقت‌رفته از ۴۰ عدد به ۸۰ مورد برسد.

کارشناسان BGPMon به دو دلیل این حادثه را مشکوک می‌دانند: ترافیک‌های تحت‌تاثیر این حادثه به شرکت‌های بزرگ فناوری تعلق دارند؛ آدرس‌های آی‌پی به‌ سرقت‌رفته به بلاک‌های کوچک و خاصی مربوط هستند که به‌طور معمول در اینترنت دیده‌نمی‌شوند.

سرقت BGP توسط یک سامانه مستقل در روسیه اتفاق افتاده‌است. این سامانه ورودی‌هایی را به جدول‌های BGP اضافه کرد و مدعی شد که یک منبع موثق برای ۸۰ پیشونده تحت‌تاثیر قرار گرفته‌است. این ادعا باعث شد مقدار زیادی از ترافیکی که توسط شرکت‌های تحت تاثیر قرار گرفته، ارسال و دریافت می‌شوند قبل از هدایت به مقصد نهایی خود از AS ۳۹۵۲۳ روسیه عبور کنند.

AS۳۹۵۲۳ یک سامانه‌ مستقل است که پیش از این مورد استفاده قرار نگرفته‌بود و سال‌ها فعال نبوده‌است، اما در ماه آگوست نیز در یک حادثه‌ BGP دیگر که شرکت گوگل را تحت‌تاثیر قرار داده‌بود، این سامانه نقش داشت.

BGPMon استنتاج کرد: «چیزی که این‌روزها اتفاق افتاده‌است، نشان می‌دهد که چگونه به آسانی می‌توان به‌طور عمدی یا تصادفی مسیر ترافیک را به سامانه‌های شخص ثالث هدایت کرد. این مسئله همچنین هشدار خوبی برای تمام ارائه‌دهندگان سرویس‌های اینترنتی است تا مشتریان خود را بیشتر بررسی کنند.»

آزمایشگاه Qrator نیز نتیجه گرفت: «این حادثه‌ سرقت BGP یک مشکل متداول را نشان می‌دهد که درنتیجه‌ عدم بررسی‌های دقیق مسیریابی ترافیک پیش می‌آید. ما می‌توانیم سامانه‌ AS۳۹۵۲۳ را به خاطر این حادثه سرزنش کنیم، اما بدون بررسی‌های مناسب در مرزهای ارائه‌دهندگان اینترنت واسط، ما محکوم هستیم که بارها و بارها شاهد چنین حوادثی باشیم. ما از تمام شبکه‌هایی که تحت‌تاثیر این حادثه قرار گرفتند می‌خواهیم تا روش‌های فیلتر کردن مسیرهای ترافیک خود را دوباره مورد بررسی قرار دهند و حداقل فیلترهای BGP مبتنی‌بر پیشوند را روی تمام ارتباطات مشتریان خود پیاده‌سازی کنند.»