Разделы

Безопасность Стратегия безопасности Телеком Инфраструктура Интернет Интернет-доступ

Украинские телеком-диверсанты чуть не сломали Рунет. Виновный найден

Украинский провайдер Lurenet в марте 2022 г. при помощи атаки «BGP-перехват» перенаправил трафик крупнейших российских провайдеров по заведомо неверным адресам. Это вывело из строя множество российских сайтов, которые в течение многих часов были не доступны не только из России, но и из других стран. Риск повторения данной ситуации, ввиду нынешнего строения Рунета, очень высок.

Украина по-крупному взломала Россию

Украина в марте 2022 г. организовала крупномасштабный перехват трафика крупнейших российских провайдеров, пишет «Коммерсант». Известно об этом стало лишь месяц спустя благодаря исследователям компании Qrator Labs, специализирующейся на информационной безопасности.

Тайный перехват российского трафика был организован силами украинского провайдера Lurenet, работающего, что немаловажно, в Луганской области. В результате весь поток информации перенаправлялся по заведомо неверным маршрутам, следствием чего стала полная недоступность целого ряда сервисов.

Диверсия длилась сравнительно недолго, немногим более 10 часов, однако успела затронуть очень многих крупных операторов связи. От действий украинского Lurenet пострадали как минимум «Мегафон» «Билайн» и МТС – провайдер перетягивал на себя весь трафик их сетей. Точно так же он поступил с трафиком «Ростелекома» и «Транстелекома».

Атаки подобные той, что устроил Lurenet, могут стать серьезной проблемой для всего Рунета. От них он пока не защищен

МТС и «Мегафон» заявили изданию, что не фиксировали проблемы в работе их сетей в марте 2022 г. Представители других трех операторов, упомянутых в отчете Qrator Labs, от комментариев отказались.

Чего добились украинцы

По оценке специалистов Qrator Labs, в результате инцидента пострадали 146 автономных систем по всему миру и многочисленные российские сайты. Притом доступ к ним нельзя было получить не только из России, но и из других стран мира.

Диверсия, организованная Lurenet, вывела из строя, по меньшей мере, сайты Московского метро и российского Министерства науки и высшего образования. Вместе с ними перестал открываться портал «Стратегия Российской Федерации».

Полный список стран, жители и гости которых пострадали в результате действий украинского провайдера, специалисты Qrator Labs не приводят. Но, с их слов, сбой в работе сервисов был наиболее заменен в России, США, Гонконге и Индонезии.

Как Lurenet чуть не сломал Рунет

По данным Qrator Labs, чтобы вывести из строя часть Рунета, специалисты осуществили так называемый BGP-перехват (Border Gateway Protocol, протокол граничного шлюза). Для этого он проанонсировал по всей сети заведомо неверные данные о маршрутизации до целого ряда веб-сайтов. В результате трафик российских операторов стал перенаправляться на совершенно сторонние сервисы.

«В результате подобных анонсов вся сеть может стать недоступна, – заявил изданию гендиректор Qrator Labs Александр Лямин. – Фактически это попытка частичного отключения интернета».

Опасность новых атак велика

Успех затеи Lurenet имеет максимально простое объяснение. На апрель 2022 г. в России подавляющее большинство автономных систем не было оснащено защитой от BGP-перехвата на основе криптографических алгоритмов. Ею располагали лишь 18,1% таких систем.

«Если оставить это направление атак открытым, оно может оказаться очень эффективным, а значит, будет использоваться любыми злоумышленниками», – сообщили изданию специалисты Qrator Labs.

В то же время повсеместное внедрение криптозащиты от BGP-перехвата может негативно сказаться на работе мобильного интернета в России, но уже не по вине провайдеров и операторов связи. «Если повсеместно использовать криптопротоколы, могут начаться проблемы в работе мобильных устройств, большая часть которых их не поддерживает», – заявил изданию глава блока анализа защищенности Infosecurity a Softline Company Андрей Найденов.

Провайдеры могут поломать сами себя

Lurenet, фактически, провел атаку на Рунет и инфраструктуру российских провайдеров. Однако у них есть возможность «положить» свою сеть при помощи BGP-перехвата самостоятельно, без атаки извне.

В такой ситуации пять лет назад, в апреле 2017 г., оказался «Ростелеком», один из провайдеров, привлекший внимание Lurenet. В результате ошибки он начал перенаправлять весь объем трафика сайтов финансовых организаций в свою автономную систему. Результат – доступ к сайтам этих организаций был какое-то время закрыт.

В ноябре 2018 г. в Рунете тоже наблюдался сбой доступа к целому ряду популярных у россиян веб-ресурсов. CNews писал, что он затронул до 20% пользователей и возник в результате ошибки протокола BGP у небольшого провайдера Krek Ltd. В итоге он перенаправил на себя весь трафик «Ростелекома», вследствие чего россияне ненадолго потеряли доступ как минимум к Amazon, YouTube и «Вконтакте».

Что важно, BGP-перехват может использоваться не только для атак на сети провайдеров. Например, в Пакистане он применяется в качестве механизма блокировки доступа к тем или иным интернет-ресурсам. Подобный опыт есть у местного провайдера Pakistan Telecom, который в 2010 г. по поручению властей заблокировал в стране YouTube именно при помощи данного метода.