Hacker sequestra conta RIPE da Orange Espanha para causar caos no BGP
4 de Janeiro de 2024

A Orange Espanha sofreu uma interrupção na internet hoje após um hacker invadir a conta RIPE da empresa para reconfigurar o roteamento BGP e uma configuração RPKI.

O roteamento de tráfego na internet é gerenciado pelo Protocolo de Gateway de Fronteira (BGP), que permite que as organizações associem seus endereços IP a números de sistema autônomo (AS) e os anunciem a outros roteadores aos quais estão conectados, conhecidos como seus pares.

Esses anúncios BGP criam uma tabela de roteamento que se propaga para todos os outros roteadores de borda na internet, permitindo que as redes saibam a melhor rota para enviar tráfego para um endereço IP específico.

No entanto, quando uma rede desonesta anuncia intervalos de IP geralmente associados a outro número AS, é possível sequestrar esses intervalos de IP para redirecionar o tráfego para sites ou redes maliciosos.

De acordo com a Cloudflare, isso é possível porque o BGP é construído com base em confiança e a tabela de roteamento será atualizada com base em qual anunciante tem a rota mais curta e específica.

Para prevenir isso, foi criado um novo padrão chamado Infraestrutura de Chave Pública de Recursos (RPKI) que atua como uma solução criptográfica para sequestro de BGP.

"Resource Public Key Infrastructure (RPKI) é um método criptográfico de assinar registros que associam um anúncio de rota BGP com o número AS de origem correto", explica um artigo da Cloudflare sobre RPKI.

Ao habilitar o RPKI com um órgão de roteamento como ARIN ou RIPE, uma rede pode certificar criptograficamente que apenas roteadores sob seu controle podem anunciar um número AS e seus endereços IP associados.

Ontem, um ator de ameaça chamado 'Snow' invadiu a conta RIPE da Orange Espanha e tuitou para a Orange Espanha para contatá-los sobre a obtenção de novas credenciais.

Desde então, o invasor modificou o número AS associado aos endereços IP da empresa e ativou uma configuração RPKI inválida neles.

Anunciar os endereços IP no número AS de outra pessoa e então habilitar RPKI efetivamente fez com que esses endereços IP deixassem de ser anunciados corretamente na internet.

"Como vemos, o que eles fizeram foi criar alguns registros ROA /12, que basicamente indicam quem é a AUTORIDADE sobre um prefixo (ou seja, o AS que pode anunciá-lo)", disse Felipe Cañizares, CTO da DMNTR Network Solutions, para BleepingComputer.

"Isso agrupou os prefixos /22 e /24 anunciados pela Orange Espanha, indicando que o AS que deveria anunciar aquele prefixo era o AS49581 (Ferdinand Zink negociando como Tube-Hosting).

"Uma vez feito isso, eles ativaram o RPKI nesse /12... e adeus..."

Isso levou a um problema de desempenho na rede da Orange Espanha entre 14:45 e 16:15 UTC, que pode ser visto no gráfico de tráfego da Cloudflare abaixo para AS12479.

A Orange Espanha confirmou desde então que sua conta RIPE foi hackeada e começou a restaurar os serviços.

"NOTA: A conta da Orange no centro de coordenação de rede IP (RIPE) sofreu acesso impróprio que afetou a navegação de alguns de nossos clientes.

O serviço está praticamente restaurado," tweetou a Orange Espanha.

"Confirmamos que em nenhum caso os dados de nossos clientes foram comprometidos, apenas afetou a navegação de alguns serviços."

Não está claro como o ator de ameaças invadiu a conta RIPE, mas Cañizares disse à BleepingComputer que acredita que a Orange Espanha não ativou a autenticação de dois fatores na conta.

Cañizares criou um tópico no X resumindo como ocorreu esse ataque.

BleepingComputer entrou em contato com a Orange Espanha com perguntas sobre o ataque, mas não recebeu resposta até o momento.

Enquanto a Orange Espanha não divulgou como sua conta RIPE foi invadida, o ator de ameaça deu uma pista em uma captura de tela postada no Twitter que continha o endereço de email da conta hackeada.

Alon Gal, do serviço de inteligência de cibersegurança da Hudson Rock, disse ao BleepingComputer que esse email e uma senha associada para a conta RIPE foram encontrados em uma lista de contas roubadas por malware de roubo de informações.

"O funcionário da Orange teve seu computador infectado por um Infostealer tipo Raccoon em 4 de setembro de 2023, e entre as credenciais corporativas identificadas na máquina, o funcionário tinha credenciais específicas para "https://access.ripe[.]net" usando o endereço de email que foi revelado pelo ator de ameaças ([email protected])", explica pesquisa da Hudson Rock.

Segundo Gal, a senha para a conta era 'ripeadmin', que é uma senha muito fácil para uma conta crítica.

Malwares de roubo de informações se tornaram a ruína da empresa, à medida que os atores de ameaças os usam para coletar credenciais para acesso inicial às redes corporativas.

Os atores de ameaças comumente compram credenciais roubadas em marketplaces de cibercrime, que então são usadas para violar redes para realizar roubo de dados, espionagem cibernética e ataques de ransomware.

Por esse motivo, todas as contas devem ter autenticação de dois fatores ou autenticação multifatorial habilitada para que, mesmo que uma conta seja roubada, os invasores não consigam fazer login na conta.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...