Der Internetverkehr namhafter IT-Riesen ist Anfang Dezember zum Teil umgeleitet worden. Dafür wurde das BGP (Border Gateway Protocol), welches den gesamten Internetverkehr organisiert, angegriffen und kurzzeitig gekapert. Das BGP hat die Aufgabe, dass alle autonomen Systeme einzelner Teilnetze der vielen Provider und Unternehmen im Internetverbund wissen, wie sie die Daten lenken müssen, damit sie an der vorgesehenen IP-Adresse landen können. Ein Team des Unternehmens BGPmon registrierte am frühen Morgen des 13. Dezembers ungewöhnliche Aktivitäten. Unbekannte Angreifer kaperten offenbar 80 IP-Prefixe für eine kurze Zeitspanne. Zu dem gekaperten Adresspool gehörten unter anderem Facebook, Microsoft, Google und Apple. Der Internetverkehr der Unternehmen wurde sechs Minuten lang umgeleitet durch das russische autonome System. Ein paar Stunden später nochmal für drei Minuten.

Dass dieser Vorfall überhaupt auffiel, lag an den großen Namen der betroffenen Datenpakete. Neben den vorgenannten Firmen war auch der Datenverkehr von Twitch, Riot Games und NTT Communications betroffen. Eine andere Auffälligkeit war, dass die gekaperten IP-Adressen in kleinere Blöcke aufgeteilt wurden, als die jeweiligen Firmen normalerweise verwenden und die bekannt sind.

Zur Erklärung: IPv4-Adressen werden in Blöcken vergeben. Ihre Größe wird gemessen an der Zahl hinter dem Schrägstrich. Eine kleine Zahl enthält mehr Adressen. Beispielsweise bedeutet /16, dass circa 64.000 und /24 nur 254 verwendete Adressen hat. Die BGP-Routingtabellen geben kleineren Blöcken gewöhnlich den Vorrang im Internetdatenstrom. Für neu angekündigte Internetrouten mit kleineren Blockgrößen sind die Chancen besser, dass sie von anderen Internet-Backbones und Internet Serviceprovidern abgeholt werden.

Das autonome System in Russland fügte Einträge in BGP-Tabellen hinzu und gab an, dass es der legitime Ursprung der 80 Präfixe war. Relativ schnell begannen viele autonome Systeme der Anfrage zu folgen. Große Mengen an Datenverkehr gingen an und von den betroffenen Unternehmen ab via dem russischen autonomen System 39523 an ihre jeweiligen IP-Adressziele. Internet Serviceprovider von PJSC MegaFon, Hurricane Electric, Zayo, Nordunet und Telstra, nutzten diese neue Route in dieser Zeit.

Das autonome System 39523 das diese Ankündigungen gemacht hatte, ruhte mehr oder weniger seit Jahren und wurde erst kürzlich zugewiesen. Ein paar Recherchen brachten aber ans Tageslicht, dass es 2017 schon einmal aktiv gewesen war, und zwar während eines Routenlecks zwischen Google und Verizon im August 2017. Infolgedessen war der japanische Internetverkehr davon schwer betroffen. Die Forscher von BGPmon bemerkten, dass eines der Pfade damals Präfix 66.232.224.0/24 mit dem folgenden ASpath 701 15169 32007 39523 hieß. 39523 ist dasselbe russische autonome System, das im Dezember als ursprüngliches autonomes System erschien.

Bleibt die Frage, was diejenigen hinter AS39523 mit der riesigen Menge an abgefangenen Daten vorhatten. Der E-Mail- und Web-Datenverkehr wird üblicherweise durch Transport Layer Security oder auf andere Weise verschlüsselt. Und bis heute gibt es noch keine bekannten Fälle, in denen gekaperter Datenverkehr entschlüsselt werden konnte durch die Angreifer. Experten möchten die Möglichkeit aber in diesem Fall nicht ausschließen. Es besteht die Möglichkeit, dass der russische Provider die Daten zunächst nur kopiert und abgespeichert hat, um sie später mit neuen Angriffsmethoden zu entschlüsseln. Daher sollten Internet Serviceprovider und Backbones strenger sein als bisher, wenn sie neu angekündigten Routen zu vertrauen. Damit könnten solche Kaperaktionen zukünftig besser verhindert werden.

Siehe auch: Massenhafte Internetdaten wurden umgeleitet

Artikel von arstechnica.com, 13.12.2017: “Suspicious” event routes traffic for big-name sites through Russia
Artikel von theregister.co.uk, 13.12.2017: ‚Suspicious‘ BGP event routed big traffic sites through Russia

Urheberrechte Beitragsbild: shutterstock.com