За 2022 год вдвое уменьшилось число автономных сетей российских операторов связи, которые были задействованы в перехвате трафика. Такие инциденты могут происходить по ошибке самого оператора или вследствие намеренной атаки злоумышленников и приводят к недоступности интернет-ресурсов. На положительном результате сказалось усиление безопасности на сетях провайдеров, а также уход зарубежных компаний, которые нагружали сети передачей большого объема информации в головные структуры за границу, считают эксперты.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
“Ъ” ознакомился с данными специализирующейся на кибербезопасности Qrator Labs о перехвате трафика российских автономных систем, состоящих из IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами связи.
Из них следует, что в прошлом году были затронуты перехватами 2,5 тыс. систем, почти вдвое меньше, чем в 2021 году. В 2020 году проблема затронула 3,6 тыс., а в 2019-м — 4,7 тыс. систем.
Прошлой весной после начала военных действий на Украине специалисты зафиксировали несколько масштабных инцидентов перехвата трафика российских интернет-провайдеров украинскими операторами. Например, Lurenet перетягивал трафик сетей, принадлежащих в том числе «Ростелекому», «МегаФону», «Вымпелкому», МТС и «Транстелекому» (ТТК). Из-за атаки сервисы, базирующиеся на этих сетях, были недоступны из разных стран в течение десяти часов (см. “Ъ” от 24 апреля 2022 года). Тогда инцидент затронул 146 автономных систем. В «Вымпелкоме», «МегаФоне» и «Транстелекоме» отказались от комментариев. «Ростелеком» и МТС не ответили “Ъ”.
Перехваты трафика — это аномалии в его маршрутизации, которые могут быть вызваны как ошибками в конфигурировании сетевого оборудования, так и спланированными атаками киберпреступников, объясняет основатель и гендиректор Qrator Labs Александр Лямин. Статистика учитывает как нелегитимное «перетягивание трафика» автономной системой чужого адресного пространства — это манипуляции с источником трафика,— так и манипуляции с путями его прохождения. Для этого используется BGP-перехват (Border Gateway Protocol, протокол граничного шлюза) — оператор может проанонсировать по всей сети неверные данные о маршрутах до ряда интернет-ресурсов.
Затронутые перехватами сети получают недостоверную информацию о маршрутизации и принимают ее за корректную.
Соответственно, их пользователи могли стать потенциальными жертвами. «Например, у пользователей могли перехватить содержимое их электронной почты, пароли доступа и другие конфиденциальные данные»,— говорит господин Лямин. Если же перехват произошел в результате операционной ошибки, то может отсутствовать доступ к конкретным ресурсам, добавляет он. В Qrator Labs считают, что показатели в 2022 году снизились, потому что операторы связи, а также крупные компании, владеющие автономными системами, стали внедрять механизмы защиты и более корректно настраивать сети.
Отношение к кибербезопасности поменялось в целом, добавляет главный инженер направления защиты сети DDoS-Guard Дмитрий Шмидт: компании чаще проводят аудиты, чтобы найти в периметре уязвимые места и «прикрыть их», прежде чем доберутся злоумышленники.
В DDoS-Guard полагают, что инциденты перехвата часто связаны прежде всего с человеческим фактором, то есть ошибками специалистов, анонсирующих маршруты трафика.
Гендиректор оператора «Комфортел» Дмитрий Петров отмечает, что, хотя число злоумышленников и некомпетентных специалистов не сократилось, появился инструмент исключения влияния человеческого фактора на инциденты перехвата. В частности, по его мнению, основной причиной сокращения числа атак с перехватом трафика стало внедрение RPKI-валидации (проверка на основе открытых ключей, которая помогает доказать подлинность ресурса в интернете) на пограничных маршрутизаторах магистральных операторов связи.
Главный специалист отдела комплексных систем защиты информации «Газинформсервиса» Дмитрий Овчинников добавляет, что уход многих зарубежных компаний, в том числе использовавших облачные сервисы для передачи своих данных головным организациям, привел к упрощению сети. Снижение системной сложности, поясняет он, привело и к падению числа случаев перехвата.