Хакер захватил аккаунт Orange Spain в RIPE и устроил хаос в BGP

В результате хакерской атаки на испанского телекоммуникационного оператора Orange Spain произошел сбой в интернет-соединении. Атака была осуществлена путем взлома учетной записи компании в RIPE (Réseaux IP Européens Network Coordination Centre), что привело к нарушению конфигурации BGP (Border Gateway Protocol) и RPKI (Resource Public Key Infrastructure).

BGP отвечает за маршрутизацию трафика в интернете, позволяя организациям ассоциировать свои IP-адреса с автономными системами (autonomous system, AS) и объявлять их другим маршрутизаторам. Однако протокол основан на доверии, и при объявлении IP-диапазонов, обычно связанных с другим номером AS, возможно перенаправление трафика на вредоносные сайты или сети.

Для предотвращения таких атак был создан стандарт RPKI, который действует как криптографическое решение против угона BGP. С помощью RPKI сеть может криптографически подтверждать, что только маршрутизаторы под их контролем могут объявлять номер AS и связанные с ним IP-адреса.

Хакер, известный под именем «Snow», взломал учетную запись Orange Spain в RIPE и изменил номер AS, связанный с IP-адресами компании, а также включил недействительную конфигурацию RPKI. Атака привела к тому, что IP-адреса больше не объявлялись должным образом в интернете, вызвав сбои в работе сети Orange Spain с 14:45 до 16:15 по UTC.

Orange Spain подтвердила факт взлома своей учетной записи в RIPE и начала восстановление услуг. В компании заверили, что данные клиентов не были скомпрометированы, и сбой затронул только навигацию по некоторым сервисам.

Хотя Orange Spain не раскрыла, каким образом была взломана ее учетная запись RIPE, предполагается, что взлом учетной записи RIPE произошел из-за отсутствия двухфакторной аутентификации. В качестве возможного источника утечки данных указывается инфостилер Racoon Stealer. Как утверждает ИБ-компания Hudson Rock, электронная почта и пароль от учетной записи RIPE были найден в списке аккаунтов, украденных подобным вредоносным ПО.

4 сентября 2023 года компьютер сотрудника Orange был заражен Racoon Stealer, и среди корпоративных учетных данных, идентифицированных на компьютере, у сотрудника были конкретные учетные данные для « https://access.ripe.net » - адрес электронной почты (adminripe-ipnt@orange[.]es) и пароль (ripeadmin), который является очень простым и ненадежным для важной учетной записи.

Инцидент подчеркивает важность использования двухфакторной или многофакторной аутентификации для всех учетных записей, чтобы даже в случае кражи учетных данных злоумышленники не могли получить доступ к аккаунту.