Трамп хвастался киберударом, а это админ шнур задел. Интернет в Каракасе сломался сам (как обычно).

История началась как типичный сюжет про "кибератаку перед ударом", а закончилась куда прозаичнее: Cloudflare утверждает, что в венесуэльских сетях в тот момент, скорее всего, сработала обычная интернет-неаккуратность, а не секретная операция.

Поводом стала заметка ред-тим инженера Грэма Хелтона. Он обратил внимание на заявления Дональда Трампа о том, что США применили "определенные компетенции", чтобы погасить свет в Каракасе перед операцией, а также на слова председателя Объединенного комитета начальников штабов генерала Дэна Кейна, который упоминал участие US Cyber Command. Хелтон решил проверить, не оставило ли это следов в инфраструктуре, и полез в публичные данные Cloudflare Radar, где видны сбои и аномалии интернет-трафика.

Фокус он взял на AS8048, это автономная система госоператора CANTV. По его наблюдениям, 2 января, за день до военной операции, часть префиксов внезапно пошла по странным маршрутам: в цепочке появлялись Sparkle (итальянский транзитный провайдер) и колумбийский GlobeNet. Сопоставив это с данными RIPE NCC, Хелтон предположил, что такие маршруты теоретически могли бы пригодиться для атаки типа man-in-the-middle, когда трафик можно незаметно перехватывать или наблюдать.

На этой неделе Cloudflare решила разобрать эпизод подробно. Главный сетевой инженер компании Брайтон Хердес подтвердил ключевое: Хелтон действительно заметил BGP route leak, то есть утечку маршрутов. В упрощенном виде это похоже на ситуацию, когда один участник сети по ошибке начинает "раздавать" чужие пути не тем соседям, и трафик едет объездом, медленно и ненадежно. Но дальше вывод Cloudflare расходится с версией про злой умысел: утечки BGP происходят постоянно и чаще всего из-за рутинных ошибок конфигурации, а не из-за атак.

Хердес отдельно подчеркнул, почему наблюдаемая картина плохо подходит под MITM. Маршрут в результате утечки становился хуже, а при реальном перехвате атакующий обычно делает наоборот: старается выглядеть самым "удобным" путем, чтобы трафик охотнее пошел через него. Кроме того, затронутые префиксы принадлежали венесуэльской компании Dayco Telecom (AS21980), а CANTV (AS8048) и так выступает для нее провайдером, то есть находится "на дороге" легально, без необходимости устраивать эффектную подмену маршрутов.

В Cloudflare считают более вероятным объяснением слишком "широкие" правила экспорта маршрутов у CANTV в сторону одного из апстримов. Компания также напоминает, что подобные утечки в регионе не редкость, и у AS8048 за последние недели было немало похожих инцидентов. А снизить число таких случаев, по мнению Хердеса, помогли бы более строгие механизмы ролей и валидации маршрутов, включая подходы, описанные в RFC 9234, и дальнейшее развитие RPKI-экосистемы.

В сухом остатке получается так: публичные графики действительно показывают сетевую аномалию накануне операции США, но Cloudflare не видит в ней убедительных признаков целенаправленной атаки. А то, как именно "погасили свет" в Каракасе, остается частью закрытой истории, тогда как главным подозреваемым снова оказывается капризный и не всегда аккуратно настроенный BGP.