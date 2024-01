Een aanvaller is erin geslaagd het RIPE-account van Orange Spanje te kapen en heeft vervolgens verschillende netwerkinstellingen aangepast, waardoor andere netwerken werden losgekoppeld van het Orange-netwerk, wat gevolgen had voor verbindingen en de bereikbaarheid van Orange zelf, alsmede Jazztel en Simyo en hun klanten, zo meldt Spaanse media.

Volgens securitybedrijf Hudson Rock was de computer van een Orange-medewerker besmet geraakt met de Raccoon-malware, die allerlei inloggegevens steelt. Het zou onder andere om het wachtwoord van het RIPE-account gaan, dat 'ripeadmin' zou zijn geweest. Daarnaast zou er geen tweefactorauthenticatie (2FA) voor het account zijn gebruikt.

Het RIPE NCC is één van de vijf Regional Internet Registries (RIR) en verzorgt in haar geografisch werkgebied de coördinatie en uitgifte van ip-adressen en autonomous system (as) nummers aan internetproviders. Nadat de aanvaller het RIPE-account van Orange Spanje had gecompromitteerd wijzigde hij BGP- en RPKI-instellingen. Het Border Gateway Protocol (BGP) wordt gebruikt om verkeer tussen internetproviders te routeren en essentieel is voor de werking van het internet.

BGP werkt door een tabel van ip-netwerken of 'prefixes' bij te houden die de netwerkbereikbaarheid tussen autonome systemen (as) aangeeft. Dit zijn onafhankelijk beheerde netwerken, bijvoorbeeld van internetproviders. Via BGP wordt de meest efficiënte route gezocht voor het routeren van verkeer. Resource Public Key Infrastructure (RPKI) wordt gebruikt voor het beveiligen van BGP en moet het lastiger voor aanvallers maken om verkeerde route-informatie aan het systeem toe te voegen en zo ip-adressen te kapen of internetverkeer om te leiden.

De aanvaller die het RIPE-account kaapte wijzigde het as-nummer van Orange Spanje en voerde een ongeldige RPKI-configuratie door, waardoor ip-adressen van de provider niet meer goed werden aangekondigd, wat weer gevolgen voor de bereikbaarheid had. Zo laat een gebruiker op Hacker News weten dat hij door de aanval websites zoals GitHub, X, Hacker News, Canva en DuckDuckGo niet meer kon bereiken. Na een aantal uur was het probleem verholpen.

In verschillende berichten op X bevestigt Orange de inbraak op het RIPE-account en dat dit voor problemen met de bereikbaarheid zorgde. Gegevens van klanten zouden niet in het geding zijn geweest. Iemand op X claimt verantwoordelijkheid voor de aanval en stelt dat Orange hem kan benaderen voor nieuwe inloggegevens.