Kompromisset med en administratorkonto førte til nesten fire timers driftsstans hos den nest største spanske teleoperatøren, Orange Espagne, som betjener 11 millioner abonnenter. For å få tilgang til RIPE NCC-registrargrensesnittet i Orange Espagne ble det forutsigbare passordet "ripeadmin" brukt og tofaktorautentisering ble ikke aktivert.
RIPE-passordet ble fanget opp da en ansatts system ble infisert med skadelig programvare og har vært i kompromitterte passorddatabaser solgt på det svarte markedet siden september. Det er bemerkelsesverdig at i tillegg til Orange Espagne-kontoen, inneholder disse databasene tusenvis av andre kontoer for å koble til access.ripe.net, som potensielt kan brukes til å utføre lignende angrep.
Hendelsen forble uoppdaget frem til 2. januar, da en vandal gikk inn i RIPE NCC-nettgrensesnittet og gjorde endringer i BGP- og RPKI-innstillingene (Resource Public Key Infrastructure), hvoretter rutingen av omtrent halvparten av operatørens trafikk ble forstyrret i nesten fire timer kommunikasjon. Angripernes handlinger førte til at RPKI-teknologi, designet for å beskytte BGP-kunngjøringer mot forfalskning, ble brukt til å blokkere legitime kunngjøringer.
Angriperen opprettet flere nye RPKI ROA (Route Origin Authorization)-poster, blant dem var poster som koblet store blokker med Orange Espagne-adresser til andres autonome system, noe som førte til det faktum at korrekte BGP-kunngjøringer fra det autonome systemet til denne operatøren begynte å bli. blokkert på ruterne til mange ryggradsoperatører. Som et resultat ble antallet BGP-ruter knyttet til Orange Espagne redusert fra 9200 til 7400, og trafikken falt med nesten det halve.
RPKI (Resource Public Key Infrastructure) brukes til å autorisere BGP-kunngjøringer og lar deg bestemme om en BGP-kunngjøring kommer fra nettverkseieren eller ikke. Når du bruker RPKI for autonome systemer og IP-adresser, bygges en tillitskjede fra IANA til regionale registrarer (RIR), og deretter til tjenesteleverandører (LIR) og sluttbrukere, som lar tredjeparter verifisere at driften av ressursen var utført av eieren. Uten autorisasjon kan enhver operatør annonsere et undernett med fiktiv informasjon om rutelengden og sette i gang transitt gjennom seg selv av deler av trafikken fra andre systemer som ikke anvender annonsefiltrering.
Kilde: opennet.ru