«Ростелеком» стал причиной крупного сбоя в работе известных финансовых сервисов

41d1a185902cbc9fd94fdb9ae40767fe.jpg

Госкорпорация «Ростелеком» в течение нескольких дней вызывала проблемы в работе нескольких известных финансовых сервисов и организаций, включая Visa, MasterCard, Альфа-банк, HSBC. Причина сбоя пока что неясна, а сам он заключается в том, что «Ростелеком» перенаправлял трафик ряда сервисов и сайтов в свою внутреннюю сеть. Поэтому сами сервисы могли быть недоступными не только для абонентов «Ростелекома», но и других компаний, пишет «Коммерсант».

Первым тревогу забил сервис BGPmon, который отслеживает информацию о маршрутах трафика по всему мира. Специалисты компании сообщают, что «Ростелеком» вольно или невольно совершил «BGP-перехват». Другими словами, госорганизация проанонсировала по сети Интернет некорректные данные о маршрутизации до различных ресурсов. Компания Qrator Labs, по словам ее главы Александра Лямина, зафиксировала пять таких сбоев в течение нескольких дней. Первый сбой случился 18 апреля, его продолжительность составила около минуты. Затем повторный сбой случился днем 25 апреля, после чего подержался несколько часов, а потом еще несколько таких сбоев, которые проходили несколько раз за ночь 26–27 апреля.
Сам «Ростелеком» проблему признает, утверждая, что сбой был, но его локализовали в течение семи минут. Причиной, по заявлению сотрудников «Ростелекома», стал сбой маршрутизатора: «Из-за сбоя ПО маршрутизатора некорректно отработали фильтры, которые не пропускают во внешние сети анонсы внутренних статических маршрутов. При этом у ряда внешних операторов отсутствовали фильтры, проверяющие легитимность анонсов, в связи с чем неверная информация разошлась по интернету и нарушила маршрутизацию».

Специалисты по информационной безопасности пока обсуждают случившееся, стараясь понять, что именно произошло. Некоторые эксперты считают, что корень случившегося следует искать в ошибках в конфигурации ряда сервисов. В «Ростелекоме» говорят, что такие сбои случались и раньше, в сетях других операторов. Например, в 2008 году бразильская компания заблокировала почти всю глобальную паутину, поскольку ей было нужно оптимизировать хождение трафика через свою сеть. Но это было сделано некорректно, поэтому в глобальной сети были замечены масштабные сбои в работе.

Но ряд особенностей недавних неполадок, как говорят эксперты, не позволяют считать случившееся обычной оптимизацией трафика. «Если это была фактически попытка перенаправить трафик для некоторых из этих финансовых учреждений, это было сделано очень заметным и масштабным образом и поэтому, наверное, не слишком вероятно. С другой стороны, учитывая число префиксов из одной категории — финансовые учреждения и процессоры кредитных карт, — это кажется чем-то большим, чем просто невинный случайный перехват», — заявил руководитель компании сервиса BGPmon.

d7c36fda1ca67d7c95dc299fa61f71d9.jpg
Источник: РБК

Скорее всего, «Ростелеком» пропустил различные маршруты трафика через один узел за определенное время. Специалисты по кибербезопасности утверждают, что случившееся могло стать результатом учений: «Поскольку «Ростелеком» сам или через дочерние компании присутствует на территории всей страны, в один узел собирался трафик маршрутов со всей России. Это могло понадобиться, чтобы проверить, какой объем трафика может прокачать один узел в случае отключения, изоляции российского сегмента сети, как, например, в случае с Северной Кореей».

Кстати, ранее BGP-переход использовали некоторые провайдеры других стран для блокировки различных ресурсов. В качестве примера можно привести Pakistan Telecom, телекоммуникационную компанию из Ирана. Когда ее руководство решило заблокировать YouTube, трафик многих пользователей всемирной сети случайным образом был перенаправлен в Пакистан. Как результат — YouTube недоступен.

Что касается аномалий с «Ростелекомом», то за последние несколько дней Qrator.Radar зафиксировал с ним несколько событий такого типа:

  • 2017–04–18 23:02:00 — 2017–04–18 23:03:00
  • 2017–04–26 22:37:00 — 2017–04–26 22:50:00
  • 2017–04–27 01:06:00 — 2017–04–27 02:20:00
  • 2017–04–27 03:21:00 — 2017–04–27 04:26:00


Цифры, приведенные выше, показывают дату и время начала аномалии, и, соответственно, дату и время ее завершения. Это те MOAS, которые показал сервис BGPStream. Кроме них, был еще один, более значительный инцидент route leak на 933 пострадавших префикса.

757875612b51510de76e796d66ca7df2.jpg
Схема, визуализирующая изменения, вызванные «Ростелекомом».

«Я бы классифицировал этот случай, как довольно подозрительный. Обычно проблемы вроде этой более масштабны и носят случайных характер. В этом же случае идет речь о целенаправленном воздействии на финансовые организации… Выглядит странно, что кто-то ограничил трафик в своей сети лишь в отношении сетей финансовых организаций», — заявил глава компании Dyn Дуг Мэдори (Doug Madory).

Трафик, которым управляют подобным образом, можно расшифровать. В первую очередь, это касается данных, которые и не были зашифрованы. Но и зашифрованные данные можно раскодировать, если использовать атаки вроде Logjam и DROWN.

В целом, сбой в сети «Ростелекома» (никто не утверждает наверняка, что это было сделано целенаправленно, называя проблему «сбоем») затронул сети 36 организаций. Префиксы этих организаций с указанием владельцев перечислены ниже.

Список организаций

202.138.100.0/24 Reliance Communications Bangalore State of Karnātaka IN
145.226.109.0/24 Euro-Information-Europeenne de Traitement de l’Information SAS Paris Île-de-France FR
193.58.4.0/24 Fortis Bank N.V. Brussels Bruxelles-Capitale BE
217.75.242.0/24 Servicios de Hosting en Internet S.A. ES
194.153.135.0/24 Norvik Banka LV
93.190.87.0/24 Modrium Mdpay Oy NUF Øy Nord-Trøndelag Fylke NO
217.117.65.0/24 NET_217_117_65 UA
195.76.9.0/24 REDSYS SERVICIOS DE PROCESAMIENTO SLU
64.75.29.0/24 Arcot Systems, Inc. Sunnyvale CA US
206.99.153.0/24 Savvis Singapore SG
198.241.161.0/24 VISA INTERNATIONAL CO US
203.112.91.0/24 HSBC banking and financial services Hong Kong HK
196.38.228.0/24 Internet Solutions Johannesburg Gauteng ZA
216.136.151.0/24 Savvis Arlington VA US
198.161.246.0/24 EMC Corporation Southborough MA US
212.243.129.0/24 UBS Card Center AG Glattbrugg Kanton Zürich CH
203.112.90.0/24 HSBC banking and financial services Hong Kong HK
216.150.144.0/24 Xand Corporation Farmingdale NY US
195.20.110.0/24 Bank Zachodni WBK S.A. Poznań Województwo Wielkopolskie PL
193.16.243.0/24 Servicios Para Medios De Pago S.A. ES
202.187.53.0/24 TIME DOTCOM BERHAD Shah Alam Selangor MY
160.92.181.0/24 Worldline France hosting FR
145.226.45.0/24 Euro-Information-Europeenne de Traitement de l’Information SAS Strasbourg Alsace FR
195.191.110.0/24 card complete Service Bank AG Vienna Wien AT
193.104.123.0/24 PROVUS SERVICE PROVIDER SA Bucharest București RO
69.58.181.0/24 Verisign, Inc. New York NY US
194.5.120.0/24 DOCAPOST BPO SAS FR
89.106.184.0/24 Worldline SA Frankfurt am Main Hessen DE
217.75.224.0/19 Servicios de Hosting en Internet S.A. Madrid Comunidad de Madrid ES
195.114.57.0/24 DNBNORD PLC LV
198.241.170.0/24 VISA INTERNATIONAL CO US
216.119.216.0/24 MasterCard Technologies LLC Wentzville MO US
193.203.231.0/24 SIA S.p.A. Milano Lombardia IT
65.205.249.0/24 Symantec Inc Mountain View CA US
194.126.145.0/24 Netcetera AG Zürich Kanton Zürich CH
65.205.248.0/24 Symantec Inc Mountain View CA US


Пока что «Ростелеком» не дал подробных комментариев о том, что произошло на самом деле.

© Geektimes