网络第5域

电信网络运行重大事故:一个账号被盗,一个国家大面积断网数小时

字号+作者: 来源:安全内参 2024-01-05 00:00 评论(创建话题) 收藏成功收藏本文

Orange西班牙公司的RIPE账号被盗,攻击者将其网络核心配置(BGP和RPKI)改为无效,导致全国互联网中断了大约3小时;据悉,攻击者在信息窃取软件的数据集中发现了此'...

Orange西班牙公司的RIPE账号被盗,攻击者将其网络核心配置(BGP和RPKI)改为无效,导致全国互联网中断了大约3小时;据悉,攻击者在信息窃取软件的数据集中发现了此次被利用的账号(未启用双因子认证),为了“找乐子”实施了此次攻击。

1Th品论天涯网

1Th品论天涯网

1Th品论天涯网

前情回顾·身份攻击成热点1Th品论天涯网

  • Okta被黑溯源:系统设计曝重大漏洞,机器账号未做安全防护1Th品论天涯网

  • 勒索攻击溯源报告:一个帐号被盗,一个城市政务服务停摆1Th品论天涯网

  • Okta 2022年为何被黑?研究发现4大高危害漏洞|身份攻击溯源1Th品论天涯网

  • 网络巨头思科遭数据勒索:VPN访问权限被窃取,2.8GB数据泄露1Th品论天涯网

  • 美政府警告:发现多起云服务账号劫持攻击,多因素认证被绕过1Th品论天涯网

安全内参1月5日消息,国际电信巨头Orange的西班牙公司日前遭遇互联网中断,原因是黑客入侵了该公司的RIPE账户,篡改了边界网关协议(BGP)路由和资源公钥基础设施(RPKI)配置。1Th品论天涯网

1Th品论天涯网

Orange西班牙是西班牙最大的移动运营商之一,此次网络中断大约持续了3个小时。1Th品论天涯网

BGP协议负责处理互联网上的流量路由,允许组织将IP地址与自治系统(AS)编号关联,并向这些编号连接的其他路由器(也称作对等路由器)推送广播。这些BGP广播构成了一张路由表,传播到互联网上所有其他边缘路由器。根据这张路由表,网络可以找到将流量发送到特定IP地址的最佳路由。1Th品论天涯网

然而,恶意网络会宣告与其他自治系统编号重合的IP地址范围,从而使攻击者有可能劫持这些IP地址,将流量重定向到恶意网站或恶意网络。1Th品论天涯网

Cloudflare表示,上述攻击完全可行,这是因为BGP协议建立在信任基础之上,路由表会根据拥有最短和更具体路由的广播方而更新。1Th品论天涯网

为了防止上述攻击,新标准RPKI被引入,提供防止BGP协议劫持的加密解决方案。Cloudflare发文称,“RPKI是一种用于签署记录的加密方法,将BGP路由公告与正确的发起自治系统的号码关联起来。”1Th品论天涯网

通过在美洲互联网号码注册管理机构ARIN、欧洲IP网络资源协调中心RIPE等路由机构启用RPKI,网络可以通过加密形式证明,只有他们控制的路由器才能宣告对应的自治系统编号及其关联IP地址。1Th品论天涯网

1Th品论天涯网

黑客入侵RIPE账户,破坏BGP协议1Th品论天涯网

昨天,一名昵称为Snow的威胁行为者入侵了Orange西班牙的RIPE账户,并在推特上发贴要求该公司与他联系,以获取新的凭证。1Th品论天涯网

此后,攻击者修改了公司IP地址关联的自治系统编号,并启用了无效的RPKI配置。1Th品论天涯网

1Th品论天涯网

攻击者宣布的IP地址属于其他组织的自治系统编号,启用RPKI协议会导致公司IP地址无法在互联网上正常公告。1Th品论天涯网

DMNTR网络解决方案公司的首席技术官Felipe Cañizares表示:“我们发现,他们创建了一些路由起源授权(ROA)/12记录,这些记录基本上说明了谁是前缀的授权者(即可以公告它的自治系统)。这些记录将Orange西班牙公告的/22和/24前缀分组在一起,说明公告前缀的自治系统应该是AS49581(Ferdinand Zink trading as Tube-Hosting公司)。完成这一步之后,他们在/12记录上启用了RPKI……攻击就大功告成了。”1Th品论天涯网

1Th品论天涯网

图:在已公告的IP地址上实施无效的RPKI1Th品论天涯网

根据Cloudflare提供的AS12479流量监控图,Orange西班牙在UTC时间14:45至16:15之间出现了性能问题。1Th品论天涯网

1Th品论天涯网

图:Orange西班牙的AS12479流量图1Th品论天涯网

Orange西班牙已经确认,他们的RIPE账户遭到了入侵,并已开始恢复服务。1Th品论天涯网

该公司在推特发帖表示,“注意:Orange在RIPE的帐户遭到了不当访问,部分客户的浏览受到影响。服务已基本恢复。我们确认,客户的数据在任何情况下都没有受到影响,受影响的只是部分服务的浏览功能。”1Th品论天涯网

1Th品论天涯网

目前尚不清楚威胁行为者是如何入侵RIPE账户的,但Cañizares告诉外媒BleepingComputer,他认为Orange西班牙没有在RIPE帐户上启用双因素身份验证。1Th品论天涯网

Cañizares在推特上创建了一条话题,总结这次攻击的发生情况。1Th品论天涯网

BleepingComputer试图与Orange西班牙联系,了解有关攻击的问题,但目前尚未收到回复。1Th品论天涯网

1Th品论天涯网

凭据很可能是通过恶意软件窃取的1Th品论天涯网

尽管Orange西班牙尚未透露其RIPE账户是如何被入侵的,但威胁行为者在推特发布截图提供了一条线索:被黑账户的电子邮件地址。1Th品论天涯网

网络安全情报公司Hudson Rock的员工Alon Gal告诉BleepingComputer,他在信息窃取恶意软件窃取的账户列表中找到了这个电子邮件地址和RIPE账户的关联密码。1Th品论天涯网

Hudson Rock的研究表明,“Orange西班牙员工的计算机于2023年9月4日被一种类似Raccoon的信息窃取恶意软件感染。在这台计算机上识别出了企业凭证,该员工持有部分凭证,并使用威胁行为者透露的电子邮件地址([email protected])登录了https://access.ripe.net。”1Th品论天涯网

Alon Gal称,该帐户密码是ripeadmin。对于如此关键的账户来说,这条密码过于简单。1Th品论天涯网

黑客Snow后来确认了Hudson Rock的研究结果,并在推特上表示他正是从公开泄露的被窃取数据中找到了这个账户。1Th品论天涯网

Snow在推特发帖说,“很多人想知道我如何获取了这个账户的访问权,我只想说,密码安全性非常值得质疑。我只是在寻找泄漏的机器数据,偶然发现了RIPE账户,密码是ripeadmin。没有双重身份验证,毫无社交工程学(SE)措施。”1Th品论天涯网

当被问及为什么要黑入该账户,黑客表示是为了“找乐子”。1Th品论天涯网

RIPE也对此事件展开调查,表示他们已恢复了Orange西班牙的帐户,并建议用户启用多因素认证。1Th品论天涯网

RIPE在关于此次违规事件的页面上发帖,“我们鼓励账户持有者更新密码并为账户启用多因素认证。如果您怀疑账户可能受到影响,请向[email protected]报告。”1Th品论天涯网

信息窃取恶意软件已成为企业的心腹大患。威胁行为者利用这些软件可以收集凭证,获得进入企业网络的初始访问权限。威胁行为者通常从网络犯罪市场购买被盗的凭证,然后用这些凭证侵入网络,进行数据窃取、网络间谍活动和勒索软件攻击。因此,所有账户都必须启用双因素或多因素认证。这样,即使账户被盗,攻击者也无法登录账户。1Th品论天涯网

参考资料:bleepingcomputer.com1Th品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]