Кампраметацыя ўліковага запісу адміністратара прывяла да амаль чатырохгадзіннага збою ў працы другога па велічыні іспанскага аператара сувязі Orange Espagne, які абслугоўвае 11 млн абанентаў. Для доступу да інтэрфейсу рэгістратара RIPE NCC у Orange Espagne ужываўся прадказальны пароль "ripeadmin" і не была ўключаная двухфактарная аўтэнтыфікацыя.
Пароль да RIPE быў перахоплены падчас паразы сістэмы аднаго з супрацоўнікаў шкоднасным ПА і з верасня знаходзіўся ў прадаваных на чорным рынку базах скампраметаваных пароляў. Характэрна, што акрамя ўліковага запісу Orange Espagne у паказаных базах прысутнічаюць і тысячы іншых акаўнтаў для падлучэння да access.ripe.net, якія патэнцыйна можна выкарыстоўваць для здзяйснення падобных нападаў.
Інцыдэнт заставаўся незаўважаным да 2 студзеня, пакуль нейкі вандал не зайшоў у web-інтэрфейс RIPE NCC і не ўнёс змены ў настройкі BGP і RPKI (Resource Public Key Infrastructure), пасля чаго на працягу амаль чатырох гадзін была парушана маршрутызацыя прыкладна паловы трафіку аператара сувязі. Дзеянні атакавалых прывялі да таго, што тэхналогія RPKI, закліканая абараніць BGP-анонсы ад падробкі, была задзейнічана для блакавання легітымных анонсаў.
Зламыснік стварыў некалькі новых запісаў RPKI ROA (Route Origin Authorization), сярод якіх апынуліся запісы якія прывязваюць буйныя блокі адрасоў Orange Espagne да чужой аўтаномнай сістэмы, што прывяло да таго, што карэктныя BGP-анонсы ад аўтаномнай сістэмы дадзенага аператара сталі блакавацца на маршрутызатарах шматлікіх магістральных аператараў . У выніку, колькасць прывязаных да Orange Espagne BGP-маршрутаў скарацілася з 9200 да 7400, а трафік асеў амаль у два разы.
RPKI (Resource Public Key Infrastructure) ужываецца для аўтарызацыі BGP-анонсаў і дазваляе вызначыць зыходзіць ці BGP-анонс ад уладальніка сеткі ці не. Пры выкарыстанні RPKI для аўтаномных сістэм і IP-адрасоў будуецца ланцужок даверу ад IANA да рэгіянальных рэгістратараў (RIRs), а затым да правайдэраў (LIR) і канчатковым спажыўцам, якая дазваляе трэцім асобам пераканацца, што аперацыя з рэсурсам была праведзена яго ўладальнікам. Без прымянення аўтарызацыі любы аператар можа анансаваць падсетку з фіктыўнымі звесткамі аб даўжыні маршруту і ініцыяваць транзіт праз сябе часткі трафіку ад іншых сістэм, якія не прымяняюць фільтрацыю анонсаў.
Крыніца: opennet.ru