Китайский государственный провайдер перехватывал интернет-трафик из США и Канады

26 октября 2018 года

Китайская государственная телекоммуникационная компания China Telecom на регулярной основе осуществляет перехват и перенаправление в Китай интернет-трафика, направляемого или проходящего через США и Канаду в рамках масштабной операции по кибершпионажу и краже интеллектуальной собственности, следует из доклада специалистов Военно-морского колледжа США и Тель-Авивского университета (Израиль).

С помощью разработанной ими системы мониторинга BGP анонсов специалисты выявили многочисленные случаи перехвата интернет-трафика, проведенного China Telecom в последние несколько лет. К примеру, в 2016 году компания перенаправила трафик правительственных сетей в Канаде и Южной Корее на свои точки присутствия (Point of presence, POP) в Торонто. Далее трафик был перенаправлен на POP China Telecom на Западном побережье США, а оттуда в Китай и Южную Корею. В 2017 году компания перехватила трафик между Японией и Скандинавией, проходящий через территорию США и отправила его на почтовый сервер, принадлежащий крупной тайваньской финансовой организации.

После копирования трафика для его дальнейшей расшифровки и изучения China Telecom «возвращает» трафик в сети лишь с небольшой задержкой, отмечается в докладе. Подобные инциденты довольно сложно обнаружить, поскольку China Telecom владеет многочисленными точками присутствия (место расположения оборудования оператора связи (провайдера), к которому возможно подключение клиентов) в Северной Америке и Европе, располагающимися в непосредственной близости от целевых сетей, в результате задержки в потоке трафика практически незаметны, несмотря на то, что он проходит по более длинному маршруту.

В свою очередь, Китай запрещает иностранным операторам связи и провайдерам размещать POP на своей территории, таким образом защищая внутренний и транзитный трафик от перехвата.

В 2015 году США и Китай договорились не совершать кибератаки друг на друга, однако данное соглашение не распространяется на перехват интернет-трафика, указывают эксперты. Выходом из положения может стать установление политики так называемого «взаимного доступа» (access reciprocity) в отношении точек присутствия провайдеров, расположенных на территории других государств. Подобная политика может быть включена в таблицы маршрутизации BGP, считают авторы доклада.

Под BGP-хакингом подразумеваются определённые действия с маршрутизацией, облегчающие перехват нужного вам трафика. АНБ называет это «формированием сети» или «формированием трафика».

Часто такие случаи являются инцидентами, вызванными сбоями в протоколе BGP, и происходят они из-за ошибок конфигурации, разрешаемыми в течение считанных минут, максимум — часов. Но некоторые сети, которые захватывают маршруты с помощью BGP-хакинга, отправляют законный трафик через вредоносные серверы для перехвата информации, фишинговых атак, кражи паролей или записи HTTPS-шифрованного трафика, чтоб впоследствии попытаться его расшифровать, используя криптографические атаки, такие как DROWN или Logjam...

Читайте также:

Google призвали не сотрудничать с китайской цензурой

?Гаджеты на службе разведок

?Dark Caracal: новая кампания по кибершпионажу, охватившая тысячи устройств по всему миру

?ФСБ настаивает на расширении понятия «шпионских» устройств.