BGP-Attacke: Russen kaperten IP-Traffic von Microsoft, Apple & Co.

Der Internet-Traffic einiger großer Unternehmen aus dem IT-Bereich ist in dieser Woche teilweise umgeleitet worden. Für den entsprechenden Angriff auf das Border Gateway Protocol (BGP), der dem zugrunde lag, scheinen Leute aus Russland verantwortlich zu sein. Aktuell ist noch nicht klar, welchen Zweck die Attacke hatte. Registriert wurde der Angriff vom BGPmon-Team, das beim OpenDNS-Projekt angesiedelt ist. Insgesamt seien kurzzeitig 80 IP-Prefixe gekapert worden, darunter solche, die zum Adress-Pool von Unternehmen wie Google, Microsoft, Apple, Facebook, Twitch und Riot Games gehören. Das russische autonome System vermeldete dabei, dass die Datenpakete, die an die entsprechenden Netzbereiche gehen sollten, in das eigene Netzwerk gehören.

Das BGP organisiert grob gesagt das gesamte Internet. Es ist im Wesentlichen dafür verantwortlich, dass die Systeme in den einzelnen Teilnetzen der vielen Provider, Unternehmen und Organisationen, die zum Internet zusammengeschlossen sind, wissen, in welche anderen Teilnetze Daten geroutet werden müssen, um zu einer bestimmten IP-Adresse zu gelangen. Wenn hier nun also jemand behauptet, dass komplette IP-Adressbereiche eigentlich zu seinem eigenen Netz gehören, sorgt das natürlich für ensprechend großes Chaos. Die entsprechenden Verlautbarungen führten dazu, dass der Datenverkehr an die fraglichen Unternehmen vor einigen Tagen zweimal kurzzeitig wirklich umgeleitet wurden. Dies geschah am Dienstag Morgen für jeweils drei Minuten. Und es traf auch nicht den gesamten globalen Datenverkehr, da die meisten Provider durchaus Maßnahmen treffen, um sich nicht von jeder beliebigen Stelle neue Routen aufschwatzen zu lassen. Umgeleitet wurde aber der Traffic zweier kleinerer US-Netzbetreiber, dazu der der australischen Telstra und der NORDUnet, dem Backbone-Zusammenschluss Skandinaviens.

Auch interne Adressen abgefangen

Mit solchen BGP-Angriffen können verschiedene Ziele verfolgt werden. Dies reicht von simpler Sabotage bis hin zu wohlorganisierten Man-in-the-Middle-Angriffen, bei denen im Zweifelsfall auch TLS-verschlüsselte Verbindungen geknackt werden können. Was die jüngste Attacke besonders machte, war unter anderem die Tatsache, dass vom russischen autonomen System erstmals seit Jahren überhaupt neue Routen gestreut wurden und dabei auch IP-Prefixe genutzt wurden, die von den jeweiligen Unternehmen nicht öffentlich, sondern nur für die interne Kommunikation verwendet werden.

BGP-Attacken sind im Grunde relativ selten. Wenn sie aber auftauchen, sorgen sie schnell für große Schäden. Bekannt ist unter anderem ein Vorfall aus dem Jahr 2008. Damals wollte Pakistan den Zugang seiner Bürger zu YouTube blockieren, indem der Traffic abgefangen wurde. Durch eine falsche Befehlskonfiguration wurde die YouTube-Route aber weltweit abgeändert und wer auch immer das Videoportal erreichen wollte, landete im Nirvana eines pakistanischen Netzes. Besser durchdacht war hingegen eine BGP-Manipulation im Jahr 2011, als die ägyptische Regierung die revoltierende Bevölkerung so landesweit vom Internet abschotten wollte.