BGP-Hijacking: IP-Verkehr der Großen Vier nach Russland umgeleitet

Am 12. Dezember wurde Internet-Verkehr von und zu Apple, Google, Facebook, Microsoft, Twitch, NTT Communications und Riot Games kurzfristig zu einem russischen Provider umgeleitet. Dieser hatte insgesamt 80 Adressblöcke kurzerhand als eigene annonciert, worauf binnen Minuten die falschen Routen in mehreren Routern anderer Netzbetreiber eingetragen waren. In der Folge wurde der an die sieben Unternehmen gerichtete Verkehr über Russland zum eigentlichen Ziel umgeleitet.

Weil sehr spezifische und kleine Adressblöcke umgeleitet worden sind, handelt es sich höchstwahrscheinlich nicht um einen Fehler, wie sie beim Routing-Protokoll BGP (Border Gateway Protocol) gelegentlich vorkommen kann, sondern um Absicht.

Den Vorfall hatte zuerst der Monitoring-Dienst BGPMon gemeldet. Demnach haben fünf große Netzbetreiber die falschen Announcements in ihre Routing-Konfiguration übernommen und Verkehr ihrer Kunden nach Russland geleitet. Zu den weithin bekannten gehören dabei der US-amerikanische Betreiber Hurricane Electric und der australische Betreiber Telstra. Die Umleitungen dauerten zwei Mal je drei Minuten. Später meldete auch der Dienst Qrator Labs den Vorfall. Laut deren Analyse habe die Umleitung sogar zwei Stunden lang gedauert. Die Anzahl der umgeleiteten Adressblöcke habe laut Qrator zwischen 40 und 80 variiert.

Im Internet gibt es weit über eine halbe Million an Routen und viele Routing-Informationen werden automatisch ausgetauscht. Der Großteil dieses Austauschs klappt – mit etwas Feintuning seitens der Provider – normalerweise gut und geräuschlos. Doch die Übersicht fällt sehr schwer, sodass bei Routen-Updates Fehler bisher nur schwer auszuschließen sind. Behelfsweise verwenden Netzbetreiber deshalb Filter, um sicherzustellen, dass sie die richtigen Routen verwenden. Aber BGP stammt noch aus einer unschuldigen Zeit, als man Routen-Announcements ohne viel Nachdenken trauen konnte – es gibt daher im üblichen BGP keine Methoden, die die Echtheit von Announcements sicherstellen. Deshalb lassen sich Routen manipulieren. Warum das geht, beschreibt heise security in "Router lügen nicht".

Spezifische Adressblöcke herausgepickt

Ungewöhnlich an dem aktuellen Fall ist, dass der umgeleitete Verkehr zu prominenten Unternehmen gehört. Außerdem handelt es sich um jeweils kleine und damit spezifische Adressblöcke. Das ist ein starkes Indiz für eine absichtliche Umleitung. Manche der Blöcke sind zuvor nicht vom Eigner annonciert worden (und auch seither nicht). Beispielsweise annonciert Google normalerweise einen /16-Block (rund 64.000 Adressen). Umgeleitet wurde aber nur ein /24-Block aus diesem Bereich (254 Adressen). Man kann annehmen, dass die Umleitung nur deshalb überhaupt klappte, weil der fälschlich annoncierte Bereich so klein war – denn BGP-Router ziehen kleine Blöcke großen vor. Auffällig ist auch, dass den Verkehr das Autonome System 39523 (kurz AS39523) zu sich umgeleitet hatte – AS39523 war zuvor laut BGPMon lange Zeit inaktiv, bis auf einen kurzen Vorfall, als im August ebenfalls Google betroffen war.

Obwohl es nur wenige Minuten waren, können in der Zeit hunderte GByte an Daten über AS39523 geflossen und damit aufgezeichnet worden sein. Der Zweck der Umleitung ist bisher nicht klar. Möglicherweise handelt es sich nur um einen naiven Versuch, netzinternen Google-Verkehr anzuzapfen. Die Chancen, dass das funktioniert, sind äußerst gering. Auch dürfte der Großteil des IP-Verkehrs verschlüsselt sein, sodass er gar nicht, oder nur mit erheblichem Aufwand lesbar ist. Aber es gibt große Unterschiede in der Güte der verwendeten Verschlüsselung – und viele Systeme laufen noch mit unzureichenden Verschlüsselungsmethoden oder lassen wegen ungenügender Zertifikatsprüfung Man-in-the-Middle-Attacken zu.

Speicherung für spätere Verwendung

Bisher ist kein Fall von entschlüsseltem umgeleiteten Verkehr bekannt geworden. Für die Zukunft kann man das aber nicht ausschließen – falls Angreifer den entführten Verkehr gespeichert haben, könnten sie ihn bei Bekanntwerden von Angriffsmethoden unter Umständen auch später noch entschlüsseln.

BGP-Verkehrsumleitungen passieren immer mal wieder. Zuletzt wurde im großen Stil im April 2017 Verkehr von MasterCard, Visa und mehr als zehn anderen Finanzunternehmen umgelenkt, ebenfalls nach Russland. Die Vorfälle ziehen sich schon seit Jahrzehnten hin. Kritiker fordern, dass Netzbetreiber ihre Router künftig sorgfältiger konfigurieren und neuen Annoncen nicht vorschnell trauen.

Manche Fachleute sind der Meinung, dass solche Attacken durch fehlende Filter auf Seiten der Netzbetreiber ermöglicht werden. Es gibt jedoch Erweiterungen, die den essentiellen Austausch von Routing-Informationen hinreichend absichern. Mit RPKI gibt es seit wenigen Jahren auch einen fertigen Standard. Er verbreitet sich bisher aber nur langsam. (dz)