Специалисты по кибербезопасности зафиксировали перехват трафика крупнейших российских провайдеров интернета украинским оператором Lurenet. Он перенаправлял трафик, проанонсировав неверные маршруты до ряда интернет-ресурсов. Из-за атаки сервисы, базирующиеся на этих сетях, были недоступны из разных стран в течение десяти часов. Угроза подобных атак будет сохраняться, пока операторы не подключат дополнительную защиту к своим сетям, даже в ущерб их производительности, считают эксперты.
Фото: Евгений Павленко, Коммерсантъ
Украинский интернет-провайдер Lurenet, работающий в Луганской области, в начале марта организовал массовый перехват трафика сетей России, рассказали “Ъ” аналитики компании, специализирующейся на кибербезопасности, Qrator Labs. Инцидент, по их данным, затронул 146 автономных систем по всему миру и длился более десяти часов.
Lurenet перетягивал на себя трафик сетей, принадлежащих в том числе «Ростелекому», «МегаФону», «Вымпелкому», МТС и «ТрансТелекому» (ТТК).
В результате пользователи из разных стран не могли получить доступ к ресурсам, базирующимся на атакованных сетях. В их числе портал metro.ru, «Стратегия Российской Федерации», а также сайт Министерства науки и высшего образования. Перехват трафика был особенно заметен для пользователей из России, Гонконга, Индонезии, США, говорят в Qrator Labs.
Lurenet осуществил BGP-перехват (Border Gateway Protocol, протокол граничного шлюза), то есть проанонсировал по всей сети неверные данные о маршрутизации до ряда интернет-ресурсов, объясняет основатель и гендиректор Qrator Labs Александр Лямин. Это значит, что трафик операторов перетягивается на сторонние сервисы.
«В результате подобных анонсов вся сеть может стать недоступна. Фактически это попытка частичного отключения интернета»,— говорит он.
Похожий инцидент произошел с сетями «Ростелекома» в 2017 году: оператор по ошибке перенаправлял трафик сайтов ряда финансовых организаций, включая Visa, MasterCard и Альфа-банк, в свою автономную систему. Ресурсы были недоступны абонентам «Ростелекома» и других операторов, которые приняли эти BGP-анонсы от него (см. “Ъ” от 28 апреля 2017 года). Этот механизм может применяться и для блокировки ресурсов. Так, в 2010 году Pakistan Telecom, получив от властей указание заблокировать YouTube, добавил необходимый маршрут и начал анонсировать его другим провайдерам, в результате чего трафик большинства абонентов по всему миру стал перенаправляться в Пакистан и YouTube оказался для них недоступен.
В МТС “Ъ” заверили, что инфраструктура оператора в марте работала в штатном режиме. Влияния на сеть «МегаФона», по словам представителя компании, не фиксировалось. «Ростелеком», «Вымпелком» и ТТК отказались от комментариев. В провайдере Lurenet не ответили на запрос “Ъ”. Гендиректор компании Евгений Образков 26 апреля на своей странице в Facebook (материнская Meta признана экстремистcкой в России) написал: «Упал последний канал Лисичанск—Славянск. Интернета нет».
После начала военной операции на Украине только с 24 по 28 февраля количество хакерских атак на российские государственные и коммерческие компании увеличилось в 4,5 раза и продолжало расти. Были также взломаны ведомственные информационные системы, у Минкульта утекла база электронной почты, а у Росавиации был похищен практически весь электронный документооборот (см. “Ъ” от 28 марта).
Проблема в том, что в России только 18,1% автономных систем полностью используют механизмы защиты от BGP-перехвата на основе криптографии, отмечают в Qrator Labs: «Если оставить это направление атак открытым, оно может оказаться очень эффективным, а значит, будет использоваться любыми злоумышленниками». Но если повсеместно использовать криптопротоколы, могут начаться проблемы в работе мобильных устройств, большая часть которых их не поддерживает, предупреждает руководитель блока анализа защищенности Infosecurity a Softline Company Андрей Найденов.
81 процент
интернет-трафика в России по итогам 2021 года приходился на мобильные устройства, по данным сервиса SlickJump.
Перехват трафика — в целом распространенная проблема в мире, опасная и тем, что с ее помощью можно увести данные, перемещающиеся по сетям, объясняет консультант по интернет-безопасности Алексей Лукацкий: «Таким образом, например, несколько лет назад были похищены ключи от кошельков криптобиржи MyEtherWallet.com». Чтобы решить проблему, говорит эксперт, операторам достаточно ограничить доступ к своим сетям нелегитимным провайдерам и дополнительно включить аутентификацию на магистральном оборудовании, но это снизит производительность сетей, на что операторы вряд ли пойдут: «Поэтому угроза перехвата трафика и снижения доступности будет существовать еще долго».