Cloudflareは、米国のベネズエラ侵攻が通信インフラへのサイバー攻撃と同時に起きたという説に冷や水を浴びせた。
この説はレッドチームエンジニアのGraham Heltonによるもので、彼は個人ブログで、トランプ大統領が攻撃前にベネズエラの都市カラカスの灯りを消すために米国が「特定の専門知識」を用いたと述べたこと、さらに統合参謀本部議長のダン・ケイン大将が米サイバー軍も役割を果たしたと語ったことを指摘した。
Heltonはまた、サイバー攻撃がいまや実力行使の前触れとなることが多い点にも触れた。2022年にロシアがウクライナへ違法侵攻した際もそうだった。そこで彼は、インターネットのトラフィック傾向や障害を記録するCloudflareのRadarサービスが公開するデータを精査し、ベネズエラ国営通信事業者CANTVが使用する自律システム番号AS8048に注目して、ベネズエラにおけるサイバー作戦の証拠を探した。
彼は、攻撃前日の1月2日に異常の証拠を見つけた。
「8つのプレフィックス(IPアドレスのブロック)がCANTV経由でルーティングされており、自律システム(AS)パスにはSparkle(イタリアのトランジットプロバイダ)とGlobeNet(コロンビアのキャリア)が含まれていた」とHeltonは書き、Sparkleは最適なボーダー・ゲートウェイ・プロトコル(BGP)セキュリティを実装していないことで知られていると指摘した。さらにRIPE NCCのルーティング情報サービスの追加データを用いて、CANTVへの奇妙なトラフィックフローのさらなる証拠を見つけ、選択された経路がトラフィックの監視を可能にする中間者(MITM)攻撃を許し得たのではないかと示唆した。
Heltonは、自身が見つけた事象は、ケイン大将が言及しトランプがほのめかしたベネズエラ攻撃の電子的側面の証拠である可能性があると述べた。
「公開されているデータは非常に多く、何が起きたのかを正確に理解するには、もっと深い掘り下げが必要だ」と彼は付け加えた。
火曜日、Cloudflareの主任ネットワークエンジニアであるBryton Herdesがその深掘りを行い、HeltonがBGPリーク――ネットワークが最適でないルーティングを選択し、その結果トラフィックが硬直したリンクを横断して遅く不安定になる事象――を検知していたことを確認する分析を投稿した。
「このルートリークの原因を確実に断定することはできませんが、当社のデータは、原因がよりありふれたものだった可能性が高いことを示唆しています」とHerdesは書いた。「それは一部には、BGPルートリークは常に起きており、インターネットの一部として昔から存在してきたからです――そして多くの場合、悪意のない理由によるものです。」
Herdesは、Heltonが見つけたAS8048周辺の動きはMITM攻撃を実行する方法としては最悪だと考えている。というのも、それは経路を悪化させてしまうからであり、こうした攻撃の目的は、避けるべき悪い経路を広告することではなく、トラフィックを危険な場所へ誘導することにある。
「南米のネットワークに影響するリークは一般的です」と彼は付け加え、直近2か月にAS8048が関与した多数のリークを挙げた。「タイミングや、私が述べた他の要因に基づいても、このリークが数時間後のマドゥロの拘束と関係していると考える理由はありません」とHerdesは書き、そのうえでCANTVが「エクスポートポリシーを緩く設定しすぎていた可能性がある」と示唆した。また、RFC 9234と呼ばれるドラフト標準と、それをルーティングベンダーが採用することの組み合わせにより、リークはより起こりにくくなるだろうと指摘した。
結局のところ、米国がベネズエラで灯りを消すために何をしたのかは秘密のままであり、悪名高い不安定なBGPがまたしてもこの一件の悪役となった。®
