Kina omdirigerte USA-trafikk på nettet

Misvisende rutingtabeller kapret trafikk til .mil, .gov, Microsoft, IBM og Dell.

Den årlige rapporten til kongressen fra US China Economic and Security Review Commission (USCC) pleier å være en nøktern gjennomgang av alle sider ved forholdet mellom USA og Kina. For den IT-interesserte, inneholder årets rapport, 2010 Annual Report to Congress (pdf, 324 sider), mer enn den sedvanlige gjennomgangen av Kinas nettsensur og kyberforsvar. Den gir også innblikk i et potensielt ødeleggende våpen som ennå ikke har vært gjenstand for vestlige øvelser i kyberforsvar.

I kapitlet «Eksterne implikasjoner av Kinas internettrelatert virksomhet» fortelles det om en episode på 18 minutter 8. april i år.

China Telecom spredte misvisende rutingtabeller som da de nådde ut til resten av verden fikk det til å se ut som den mest hensiktsmessige rutingen til anslagsvis 15 prosent av alle verdens nettsteder gikk gjennom servere i Kina.

Denne episoden ble opprinnelig meldt på bloggen til BGPmon.net samme dag som den skjedde, uten å vekke noe internasjonalt ramaskrik. Omfanget av den omdirigerte trafikken går ikke fram av nyhetsmeldinger samme dag, for eksempel denne artikkelen i New York Times.

Blant nettstedene som fikk sin trafikk omdirigert via Kina var domenene for amerikansk offentlig sektor (.gov) og USAs forsvar (.mil). Det presiseres at trafikk til og fra senatet, USA Army, USA Navy, USA Marines, US Air Force, NASA, forsvarsdepartementet, handelsdepartementet og en rekke andre instanser ble sendt via kinesiske servere i de atten minuttene de misvisende rutingtabellene ble brukt. De samme gjaldt trafikk til og fra store amerikanske IT-selskaper som Dell, Yahoo, Microsoft og IBM.

Rapporten presiserer at publisering av misvisende rutingtabeller har vært avdekket tidligere, og at denne typen angrep også kalles IP-kapring eller prefikskapring. Rollen til China Telecom var å viderepublisere de misvisende tabellene, som opprinnelig stammet fra en mindre nettoperatør, IDC China Telecommunication. Det vises ellers til ubekreftede rapporter om tilsvarende episoder med kinesiske operatører som opphav.

USCC understreker at de ikke har grunnlag for å slå fast hvorvidt denne «kapringen» var bevisst, eller om de misvisende rutingtabellene var et hendelig uhell.

Det som er klart, er at publisering av misvisende rutingtabeller kan muliggjøre en rekke former for ondsinnet virksomhet. USCC sier også at de har ingen grunnlag for å si noe om hvorvidt .mil- og .gov-trafikken som passerte Kina ble fanget opp eller klusset med.

Det nevnes en mulighet for at episoden kan ha gjort det mulig å dekke over et ukjent og kanskje svært alvorlig angrep. Ellers sier det seg jo selv hvilken gullgruve det må være for Kina plutselig å få adgang til for eksempel e-postmeldinger og dokumentoverføringer til og fra USAs senat, handelsdepartement og forsvarsdepartement.

I rapporten nevnes også hvordan misvisende rutingtabeller kan gjøre det mulig for en teleoperatør å kompromittere integriteten til kryptert trafikk.

I USA har noen miljøer spekulert i at episoden kan være en form for utprøving av et nytt kyberkrigvåpen.

I en e-post til nyhetsbyrået Reuters, benekter China Telecom delaktighet i kapring av internettrafikk. I sin omtale av saken siterer den kinesiske regjeringsavisen Folkets Dagbladet direktør Lu Benfu i det kinesiske vitenskapsakademiets senter for nettforskning. Lu peker på at USA i praksis kontrollerer all nettrafikk, og at det følgelig er teknisk umulig for Kina å misbruke rutingtabeller bevisst.

Til toppen