Aanvaller kaapt RIPE-account Orange Spanje en wijzigt netwerkinstellingen
Een aanvaller is erin geslaagd het RIPE-account van Orange Spanje te kapen en heeft vervolgens verschillende netwerkinstellingen aangepast, waardoor andere netwerken werden losgekoppeld van het Orange-netwerk, wat gevolgen had voor verbindingen en de bereikbaarheid van Orange zelf, alsmede Jazztel en Simyo en hun klanten, zo meldt Spaanse media.
Volgens securitybedrijf Hudson Rock was de computer van een Orange-medewerker besmet geraakt met de Raccoon-malware, die allerlei inloggegevens steelt. Het zou onder andere om het wachtwoord van het RIPE-account gaan, dat 'ripeadmin' zou zijn geweest. Daarnaast zou er geen tweefactorauthenticatie (2FA) voor het account zijn gebruikt.
Het RIPE NCC is één van de vijf Regional Internet Registries (RIR) en verzorgt in haar geografisch werkgebied de coördinatie en uitgifte van ip-adressen en autonomous system (as) nummers aan internetproviders. Nadat de aanvaller het RIPE-account van Orange Spanje had gecompromitteerd wijzigde hij BGP- en RPKI-instellingen. Het Border Gateway Protocol (BGP) wordt gebruikt om verkeer tussen internetproviders te routeren en essentieel is voor de werking van het internet.
BGP werkt door een tabel van ip-netwerken of 'prefixes' bij te houden die de netwerkbereikbaarheid tussen autonome systemen (as) aangeeft. Dit zijn onafhankelijk beheerde netwerken, bijvoorbeeld van internetproviders. Via BGP wordt de meest efficiënte route gezocht voor het routeren van verkeer. Resource Public Key Infrastructure (RPKI) wordt gebruikt voor het beveiligen van BGP en moet het lastiger voor aanvallers maken om verkeerde route-informatie aan het systeem toe te voegen en zo ip-adressen te kapen of internetverkeer om te leiden.
De aanvaller die het RIPE-account kaapte wijzigde het as-nummer van Orange Spanje en voerde een ongeldige RPKI-configuratie door, waardoor ip-adressen van de provider niet meer goed werden aangekondigd, wat weer gevolgen voor de bereikbaarheid had. Zo laat een gebruiker op Hacker News weten dat hij door de aanval websites zoals GitHub, X, Hacker News, Canva en DuckDuckGo niet meer kon bereiken. Na een aantal uur was het probleem verholpen.
In verschillende berichten op X bevestigt Orange de inbraak op het RIPE-account en dat dit voor problemen met de bereikbaarheid zorgde. Gegevens van klanten zouden niet in het geding zijn geweest. Iemand op X claimt verantwoordelijkheid voor de aanval en stelt dat Orange hem kan benaderen voor nieuwe inloggegevens.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!