Een hacker heeft afgelopen week het netwerk van Orange España, de tweede grootste mobiele operator van het land, weten plat te leggen met een hack. Dit met behulp van een zeer zwak wachtwoord dat toegang gaf tot de wereldwijde routing table die het netwerk controleert voor het afleveren van het internetverkeer van de mobiele operator.
De hacker Snow wist met het zeer zwakke wachtwoord ‘ripeadmin’ toegang te krijgen tot de zogenoemde RIPE Network Coordination Center (RIPE NCC) -account van de Spaanse tak van Orange. Dat claimt de hacker zelf in een bericht op X. Het RIPE NCC is een regionale internet registry die IP-adressen beheert voor en toewijst aan ISP’s, telecomoperators en bedrijven die hun eigen netwerkinfrastructuur hebben.
Volgens securityonderzoekers had Snow het wachtwoord op het internet gekocht, nadat dit eerder vorig jaar was gestolen van een Orange-computer. Op het darkweb zouden duizenden RIPE-inloggegevens worden aangeboden. Niet alleen was het wachtwoord dus eenvoudig omwille van de verwijzing naar het netwerk waarop wordt ingelogd. Ook gebruikte Orange hetzelfde wachtwoord al een langere periode.
Hacker verzon valse aanvragen
Nadat Snow toegang had gekregen, probeerde hij het netwerk plat te leggen. Dit gebeurde door veranderingen aan te brengen aan de wereldwijde routing table die bepaalt voor Orange welke backbone-leverancier zijn internetverkeer naar een ander werelddeel brengt. Dit met het zogenoemde BGP-protocol.
Snow voegde met zijn aanval enkele nieuwe Route Origin Authorizations (ROA’s) toe die het ene regionale netwerk met de rest van het internet verbinden. Hiermee kunnen ‘autonome systemen’ dan andere autonome systemen of grote brokken IP-adressen aanwijzen voor het afleveren van het internetverkeer naar andere delen van de wereld.
Eerdere pogingen hadden geen effect; deze werden gemitigeerd. Snow besloot daarom zelf uiteindelijk een vijftal ROA’s toe te voegen die een valse origine hadden. In dit geval een origine die niets met Orange España te maken had.
Dit triggerde een nieuwe beschermingsfunctie in het BGP-protocol, Resource Public Key Infrastructure (RPKI), waardoor de diverse backbone-leveranciers de aanvragen vanuit Orange España gingen weigeren. Als gevolg ontstond er een grote storing op het internetverkeer van Orange España.
Netwerk routingsettings hersteld
Uiteindelijk wist Orange España weer de controle te krijgen over het gecompromitteerde RIPE NCC-account. Vervolgens kon de mobiele operator de dienstverlening herstellen door de juiste ROA’s te publiceren.
Sommige malafide ROA’s zijn nog steeds in het netwerk aanwezig. Dat vormt geen probleem omdat ze onschadelijk zijn doordat legitieme ROA’s zijn gepubliceerd met de juiste origine.