Kompromitiranje administratorskog računa dovelo je do gotovo četverosatnog prekida rada drugog najvećeg španjolskog telekom operatera, Orange Espagne, koji opslužuje 11 milijuna pretplatnika. Za pristup RIPE NCC registratorskom sučelju u Orange Espagne, korištena je predvidljiva lozinka "ripeadmin" i autentifikacija u dva faktora nije bila omogućena.
Lozinka za RIPE je presretnuta kada je sustav zaposlenika bio zaražen zlonamjernim softverom i nalazi se u ugroženim bazama podataka zaporki koje se prodaju na crnom tržištu od rujna. Važno je napomenuti da osim računa Orange Espagne, ove baze podataka sadrže tisuće drugih računa za povezivanje na access.ripe.net, koji bi se potencijalno mogli koristiti za izvođenje sličnih napada.
Incident je ostao neotkriven do 2. siječnja, kada je vandal ušao u RIPE NCC web sučelje i napravio promjene u BGP i RPKI (Resource Public Key Infrastructure) postavkama, nakon čega je usmjeravanje otprilike polovice prometa operatera bilo prekinuto gotovo četiri sata komunikacije. Akcije napadača dovele su do činjenice da je RPKI tehnologija, dizajnirana za zaštitu BGP najava od krivotvorenja, korištena za blokiranje legitimnih najava.
Napadač je stvorio nekoliko novih RPKI ROA (Route Origin Authorization) zapisa, među kojima su bili zapisi koji povezuju velike blokove Orange Espagne adresa s tuđim autonomnim sustavom, što je dovelo do toga da su ispravne BGP najave iz autonomnog sustava ovog operatera počele biti blokiran na usmjerivačima mnogih operatera okosnice. Kao rezultat toga, broj BGP ruta povezanih s Orange Espagne smanjen je s 9200 na 7400, a promet je pao za gotovo polovicu.
RPKI (Infrastruktura javnog ključa resursa) koristi se za autorizaciju BGP najava i omogućuje vam da odredite dolazi li BGP najava od vlasnika mreže ili ne. Kada koristite RPKI za autonomne sustave i IP adrese, gradi se lanac povjerenja od IANA-e do regionalnih registara (RIR-ova), a zatim do pružatelja usluga (LIR-ova) i krajnjih korisnika, što omogućuje trećim stranama da potvrde da je rad resursa bio provodi njezin vlasnik. Bilo koji operater može neovlašteno reklamirati podmrežu s fiktivnim podacima o duljini rute i pokrenuti kroz sebe tranzit dijela prometa iz drugih sustava koji ne primjenjuju filtriranje reklama.
Izvor: opennet.ru