سرقت ترافیک شرکت‌های گوگل، اپل، مایکروسافت، فیس‌بوک توسط روسیه

هفته گذشته یک حادثه‌ی مشکوک اتفاق افتاد: ترافیک شرکت‌های بزرگ فناوری مانند گوگل، فیس‌بوک، اپل، و مایکروسافت از طریق یک ارائه‌دهنده‌ی اینترنت روسی که قبلا ناشناخته بود، هدایت شد، این رویداد روز چهارشنبه رخ داد، و پژوهش‌گرانی که این رویداد را بررسی می‌کنند بر این باورند که این ترافیک به طور عمدی به سرقت رفته است.

 

این حادثه شامل پروتکل دروازه‌ای مرزی (BGP) اینترنت است که برای هدایت ترافیک در میان ستون فقرات اینترنت، ارائه‌دهندگان سرویس‌های اینترنتی، و دیگر شبکه‌های بزرگ مورد استفاده قرار می‌گیرد.

 

حادثه‌ی مشابهی هشت ماه پیش اتفاق افتاده بود، در آن حادثه نیز مقدار زیادی از ترافیک شرکت‌های ویستا، مسترکارت، و بیش از ده‌ها شرکت ارائه‌دهنده‌ی سرویس‌های مالی از طریق یک متصدی مخابراتی که تحت کنترل روسیه بود، هدایت شد.

 

سرویس نظارت بر اینترنت BGPMon در یک پست وبلاگی اظهار کرد: «اوایل صبح امروز سامانه‌های ما یک رویداد مشکوک را شناسایی کردند که در آن پیشوند‌های مربوط به مقصدهای سطح بالا توسط یک سامانه مستقل روسیِ غیرقانونی منتشر شدند. از ساعت ۰۴:۴۳ یو‌تی‌سی، ۸۰ پیشوند که معمولا توسط سازمان‌هایی مانند گوگل، اپل، فیس‌بوک، مایکروسافت، Twitch، ارتباطات NTT، Riot Games منتشر می‌شوند، در جدول‌های مسیریابی BGP جهانی با یک منبع AS39523، خارج از روسیه، شناسایی شدند. با مشاهده‌ی جدول زمانی می‌توانیم دو پنجره‌ی رویداد را ببینیم که هر کدام حدود سه دقیقه طول کشیده است. اولین مورد در ساعت ۰۴:۴۳ UTC آغاز شده و حدود ۰۴:۴۶ UTC به پایان رسیده است. رویداد دوم ساعت ۰۷:۰۷ UTC شروع شده و ۰۷:۱۰ UTC به اتمام رسید.»

 

BGPMon دو رویداد متمایز را مشاهده کرد که در مجموع شش دقیقه طول کشیدند و ۸۰ بلوک آدرس مجزا را تحت تاثیر قرار دادند.

 

سرویس نظارت دیگری به نام Qrator Labs، اعلام کرد که دو ساعت طول کشید که تعداد بلاک‌های آدرس به سرقت‌رفته از ۴۰ عدد به ۸۰ مورد برسد.

 

کارشناسان BGPMon به دو دلیل این حادثه را مشکوک می‌دانند: ترافیک‌های تحت تاثیر این حادثه به شرکت‌های بزرگ فناوری تعلق دارند؛ آدرس‌های آی‌پی به‌ سرقت‌رفته به بلاک‌های کوچک و خاصی مربوط هستند که به طور معمول در اینترنت دیده نمی‌شوند.

 

سرقت BGP توسط یک سامانه‌ی مستقل در روسیه اتفاق افتاده است، این سامانه ورودی‌هایی را به جدول‌های BGP اضافه کرده و ادعا کرده است که یک منبع موثق برای ۸۰ پیشونده تحت تاثیر قرار گرفته است. این ادعا باعث شده است که مقدار زیادی از ترافیکی توسط شرکت‌های تحت تاثیر قرار گرفته ارسال و دریافت می‌شوند، قبل از هدایت به مقصد نهایی خود، از AS 39523 روسیه عبور کنند.

 

AS39523 یک سامانه‌ی مستقل است که پیش از این مورد استفاده قرار نگرفته بود و به مدت سال‌ها فعال نبوده است، اما در ماه آگوست نیز در یک حادثه‌ی BGP دیگر که شرکت گوگل را تحت تاثیر قرار داده بود، این سامانه نقش داشت.

 

BGPMon استنتاج کرد: «چیزی که این‌روزها اتفاق افتاده است، نشان می‌دهد که چگونه به آسانی می‌توان به طور عمدی یا تصادفی مسیر ترافیک را به سامانه‌های شخص ثالث هدایت کرد. این مسأله همچنین هشدار خوبی برای تمام ارائه‌دهندگان سرویس‌های اینترنتی است تا مشتریان خود را بیشتر بررسی کنند.»

 

آزمایشگاه Qrator نیز نتیجه گرفت: «این حادثه‌ی سرقت BGP یک مشکل متداول را نشان می‌دهد که در نتیجه‌ی عدم بررسی‌های دقیق مسیریابی ترافیک پیش می‌آید. ما می‌توانیم سامانه‌ی AS39523 را به خاطر این حادثه سرزنش کنیم، اما بدون بررسی‌های مناسب در مرزهای ارائه‌دهندگان اینترنت واسط، ما محکوم هستیم که بارها و بارها شاهد چنین حوادثی باشیم. ما از تمام شبکه‌هایی که تحت تاثیر این حادثه قرار گرفتند می‌خواهیم تا روش‌های فیلتر کردن مسیرهای ترافیک خود را دوباره مورد بررسی قرار دهند و حداقلِ فیلترهای BGP مبتنی‌بر پیشوند را روی تمام ارتباطات مشتریان خود پیاده‌سازی کنند.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید