Компания Cloudflare развеяла теорию о том, что вторжение США в Венесуэлу совпало с кибератакой на телекоммуникационную инфраструктуру.
Эта теория возникла из-за инженера по тестированию безопасности (red team) Грэма Хелтона, который в своем личном блоге отметил, что президент Трамп заявил об использовании США «определенных знаний» для отключения света в венесуэльской столице Каракасе перед атакой, а председатель Объединенного комитета начальников штабов генерал Дэн Кейн также упомянул о роли Киберкомандования США.
Хелтон также обратил внимание на то, что кибератаки теперь часто предшествуют кинетическим военным действиям, как это произошло, когда Россия незаконно вторглась в Украину в 2022 году. Поэтому он занялся поиском доказательств киберопераций в Венесуэле, изучая данные, которые Cloudflare публикует на своем сервисе Radar, фиксирующем тенденции интернет-трафика и сбои, и сосредоточился на AS8048 – номере автономной системы, используемой CANTV, государственной телекоммуникационной компанией Венесуэлы.
Он обнаружил признаки аномалий 2 января, за день до атаки.
«8 префиксов (блоков IP-адресов) маршрутизировались через CANTV, при этом в пути Автономной Системы (AS) присутствовали Sparkle (итальянский транзитный провайдер) и GlobeNet (колумбийский оператор)», — написал Хелтон, отметив, что Sparkle, как известно, не применяет оптимальную безопасность протокола пограничного шлюза (BGP). Используя дополнительные данные из службы маршрутной информации RIPE NCC, он обнаружил дальнейшие свидетельства странных потоков трафика к CANTV и предположил, что выбранные маршруты могли допустить атаку типа «человек посередине» (MITM), позволившую осуществлять наблюдение за трафиком.
Хелтон высказал мнение, что выявленные им инциденты могут быть свидетельством электронных аспектов атаки на Венесуэлу, упомянутой генералом Кейном и намекнутой Трампом.
«Существует много общедоступных данных, которые стоят гораздо более глубокого изучения, чтобы точно понять, что произошло», — добавил он.
Во вторник ведущий сетевой инженер Cloudflare Брайтон Хердес предпринял это глубокое погружение и опубликовал анализ, который подтвердил, что Хелтон обнаружил утечку BGP — инцидент, при котором сети выбирают субоптимальную маршрутизацию, из-за чего трафик проходит по застойным каналам, становясь медленным и ненадежным.
«Хотя мы не можем с уверенностью сказать, что стало причиной этой утечки маршрутов, наши данные свидетельствуют о том, что наиболее вероятная причина была более прозаичной», — написал Хердес. «Отчасти это потому, что утечки маршрутов BGP происходят постоянно и всегда были частью Интернета — чаще всего по причинам, не связанным со злым умыслом».
Хердес считает, что действия вокруг AS8048, замеченные Хелтоном, представляли собой крайне неэффективный способ проведения атаки MITM, поскольку они ухудшали маршрут, тогда как цель подобных атак — направить трафик в опасную зону, а не анонсировать плохой маршрут, которого лучше избегать.
«Утечки, затрагивающие сети Южной Америки, нередки», — добавил он, указав на множество недавних утечек, связанных с AS8048 за последние два месяца. «У нас нет оснований полагать, исходя из сроков или других обсуждаемых мною факторов, что утечка связана с захватом Мадуро несколькими часами позже», — написал Хердес, после чего предположил, что CANTV «возможно, настроила слишком свободные политики экспорта», и отметил, что сочетание черновика стандарта под названием RFC 9234 и его принятия производителями маршрутизаторов сделает утечки менее распространенными.
В итоге то, что именно США сделали для отключения света в Венесуэле, остается тайной, а виновником инцидента снова оказался печально известный ненадежный BGP. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 7/9
Bayan-score: 0.720901489
Автор – Simon Sharwood
