Что такое BGP-перехваты (BGP hijacking)?

BGP-перехват (BGP hijack) — это нелегитимное объявление IP-префикса злонамеренной или ошибочно настроенной автономной системой (AS), из-за которого трафик вместо предполагаемой сети назначения перенаправляется в неавторизованную AS. Проще говоря, AS, ответственная за инцидент, намеренно или по ошибке перенаправляет в свою собственную сеть трафик, предназначенный для других получателей, что создает серьезные риски безопасности.

Инциденты BGP-перехвата могут привести к краже конфиденциальной информации, перенаправлению пользователей на вредоносные сайты, потере данных, сбоям в работе сервисов и другим критическим последствиям. Основной уязвимостью, которая делает такие атаки возможными, является доверительная природа протокола BGP, лежащего в основе интернета.

Протокол граничного шлюза (Border Gateway Protocol, BGP) — это протокол маршрутизации интернета, который позволяет автономным системам обмениваться информацией о наиболее эффективных путях передачи данных от одной AS к другой. Подобно системе почтовых индексов, BGP помогает направлять трафик по интернету, непрерывно оптимизируя маршруты с учетом состояния сетей и эффективности маршрутизации.

Автономная система (Autonomous System, AS) — это совокупность IP-сетей, управляемых одной организацией и использующих единую политику маршрутизации. Примеры автономных систем — крупные интернет-провайдеры, а также сети крупных организаций, таких как корпорации, университеты и государственные учреждения. Каждой AS присваивается уникальный номер — ASN (Autonomous System Number), который используется в маршрутизации BGP для обмена информацией с другими автономными системами в интернете.

Современная инфраструктура интернета состоит из десятков тысяч автономных систем, связанных между собой в сложную и запутанную структуру. Без протокола вроде BGP поиск наиболее эффективного маршрута между автономными системами был бы невозможен, что делает BGP критически важным для работы интернета.

BGP-перехват происходит, когда автономная система (AS) объявляет ложные или нелегитимные маршруты, в результате чего другие AS начинают перенаправлять интернет-трафик через нее. Это может быть следствием как ошибочной настройки, так и злонамеренных действий. Механика подобных инцидентов, как правило, сводится к двум основным сценариям:

• Объявление более короткого маршрута. Протокол BGP отдает приоритет более коротким маршрутам. В этом случае AS, ответственная за инцидент, объявляет якобы более короткий маршрут к определенному диапазону IP-адресов по сравнению с существующими маршрутами. Соседние AS, доверяя объявлению, перенаправляют трафик в сеть, совершающую BGP-перехват.
  
  
• Объявление более детализированного маршрута. BGP также отдает предпочтение наиболее конкретным диапазонам IP-адресов. Если перехватывающая AS объявляет маршрут к более узкому префиксу, чем легитимная AS, этот маршрут получает приоритет, и трафик направляется через AS, ответственную за перехват.

Оба сценария используют отсутствие встроенной проверки в протоколе BGP, что делает BGP-перехваты серьезной угрозой для безопасности и стабильности сетей. По умолчанию протокол граничного шлюза работает на доверии и не предусматривает верификацию объявления маршрутов. Это позволяет злонамеренным или ошибочно настроенным AS вводить ложные маршруты.

Успешные BGP-перехваты могут иметь широкий спектр последствий, степень серьезности которых варьируется от умеренной до критичной — в зависимости от характера инцидента и целевых систем. Вот несколько типичных вариантов:

• Повышенная задержка: когда трафик перенаправляется по непредусмотренному маршруту, это может значительно увеличить время, необходимое для доставки данных в конечную точку назначения. Результатом может быть медленная загрузка, ухудшение производительности критически важных онлайн-сервисов и негативный пользовательский опыт. Это особенно критично для приложений, работающих в режиме реального времени, таких как видеоконференции, онлайн-игры или финансовый трейдинг.
  
  
• Блэкхолинг (Blackholing): BGP-перехват может привести к так называемому «блэкхолингу», когда трафик отбрасывается, не достигнув предусмотренного места назначения. Это может вызвать частичные или полные сбои в обслуживании — веб-сайты и онлайн-сервисы фактически могут стать недоступными для пользователей.
  
  
• Мониторинг трафика: BGP-перехват может использоваться для пассивных атак, когда трафик без ведома пользователей перенаправляется через сеть злоумышленника. Это позволяет злоумышленнику отслеживать и анализировать конфиденциальные данные, потенциально собирая информацию о поведении пользователей, их IP-адресах и так далее.
  
  
• Перехват трафика: в более злонамеренных случаях атакующие могут активно перехватывать и манипулировать данными, которые проходят через контролируемую ими сеть. Это может привести к утечке данных, несанкционированному доступу к конфиденциальной информации, краже интеллектуальной собственности или изменению данных во время передачи.
  
  
• Перенаправление на вредоносные веб-сайты: злоумышленники могут использовать BGP-перехват для перенаправления трафика на вредоносные веб-сайты, содержащие вредоносное ПО или фишинговые страницы. Это может привести к тому, что пользователи неосознанно загрузят вредоносное программное обеспечение или передадут атакующим конфиденциальную информацию, такую как учетные данные.
  
  

Каждое из этих последствий подчеркивает критическую необходимость надежных мер безопасности для снижения рисков, связанных с BGP-перехватами. Без должной защиты организации рискуют столкнуться с серьезными операционными, финансовыми и репутационными потерями.

Проблема BGP-перехватов не является сугубо теоретической: ежедневно по всему миру происходят сотни подобных случаев. Вот несколько наиболее заметных инцидентов, имевших серьезные последствия:

• Атака на криптобиржу KLAYswap (2022): 3 февраля 2022 года злоумышленники перехватили BGP-маршруты, ведущие к платформе KLAYswap, и перенаправили трафик, чтобы подсовывать пользователям вредоносные скрипты. Это привело к краже криптовалюты на сумму около 1,9 миллиона долларов.
  
  
• Сбой IBM Cloud (2020): 9 июня 2020 года облачная платформа IBM Cloud столкнулась с глобальным сбоем, затронувшим дата-центры по всему миру и вызвавшим серьезные перебои в работе сервисов. Причиной стала ошибочная настройка маршрутизации BGP у внешнего провайдера, из-за которой доставка трафика к IBM Cloud была нарушена в течение нескольких часов.
  
  
• Перехват Amazon Route 53 / MyEtherWallet (2018): классический пример BGP-перехвата. 24 апреля 2018 года злоумышленники подменили маршруты, связанные с DNS-сервисом AWS Route 53, и перенаправили трафик, предназначенный для криптовалютного сайта MyEtherWallet, на фишинговую страницу. В результате пользователи потеряли более 150 000 долларов в криптовалюте.
  
  

Как показывают эти примеры, вне зависимости от того, является ли BGP-перехват умышленным или случайным, подобные инциденты могут привести к крупным финансовым потерям и масштабным сбоям в работе сервисов. Это подчеркивает серьезные риски, которые несут уязвимости BGP для безопасности и стабильности критически важных онлайн-сервисов.

К сожалению, из-за фундаментальных особенностей протокола BGP жертвы BGP-перехватов не могут полностью себя защитить. Основная проблема заключается в том, что BGP изначально был построен на доверии: когда автономная система объявляет ложный маршрут, соседние AS принимают его без проверки легитимности. Поскольку BGP-перехват происходит во время транзита трафика, пострадавшая сторона практически не может предотвратить его возникновение.

Тем не менее, были внедрены определенные меры безопасности, направленные на повышение надежности BGP — в том числе фильтрация маршрутов, аутентификация соседей и, относительно недавно, инфраструктура открытых ключей ресурсов (Resource Public Key Infrastructure, RPKI) и авторизация источника маршрута (Route Origin Authorization, ROA). RPKI и ROA уже доказали свою эффективность, однако они работают по принципу вакцины: чтобы эти меры действительно защищали, их должны применять большинство автономных систем.

Пока внедрение RPKI ROA продолжается, протокол граничного шлюза остается уязвимым для BGP-перехватов. Поэтому сетевым инженерам важно активно отслеживать инциденты BGP, чтобы оперативно устранять возникающие проблемы.

Одним из наиболее эффективных инструментов для этой задачи является CURATOR.BGP — платформа мониторинга и анализа сетевых аномалий в режиме реального времени. Благодаря детальной аналитике и уведомлениям о BGP-инцидентах CURATOR.BGP помогает обеспечивать безопасность сетей, оперативно обнаруживая затрагивающие их BGP-перехваты и другие угрозы, связанные с маршрутизацией.