वेनेज़ुएला ब्लैकआउट के दौरान देखी गई BGP असामान्यता

 (loworbitsecurity.com)
2 पॉइंट द्वारा GN⁺ 2026-01-06 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • वेनेज़ुएला में ब्लैकआउट की घटना के साथ ही CANTV(AS8048) केंद्रित BGP routing anomaly देखी गई
  • Cloudflare Radar डेटा के अनुसार 2 जनवरी को CANTV path शामिल करने वाले 8 IP prefixes को असामान्य AS paths के ज़रिये रूट किया गया
  • इन paths में Sparkle(इटली) और GlobeNet(कोलंबिया) शामिल थे, और Sparkle को RPKI filtering लागू न करने वाला ‘unsafe’ operator वर्गीकृत किया गया है
  • bgpdump विश्लेषण के नतीजों में AS path में CANTV नंबर (8048) 10 बार दोहराया गया, जो सामान्य path selection rules से मेल नहीं खाता, और संबंधित IP range कराकस की Dayco Telecom की बताई गई
  • इस BGP route leak, ब्लैकआउट, विस्फोट और अमेरिकी सेना के प्रवेश के समय एक-दूसरे के काफ़ी क़रीब होने से यह साफ़ दिखता है कि नेटवर्क स्तर पर असामान्य गतिविधि हुई थी

वेनेज़ुएला ब्लैकआउट और BGP असामान्यता

  • वेनेज़ुएला ब्लैकआउट के दौरान CANTV(AS8048) केंद्रित BGP route leak हुआ
    • Cloudflare Radar डेटा में 8 IP prefixes को CANTV से होकर जाने वाले असामान्य paths पर रूट होते देखा गया
    • paths में Sparkle(इटली) और GlobeNet(कोलंबिया) शामिल थे
  • Cloudflare Radar ने 2 जनवरी को BGP announcements में तेज़ बढ़ोतरी और public IP address space में कमी दर्ज की
    • इसका कारण स्पष्ट नहीं है
  • Sparkle को isbgpsafeyet.com पर ‘unsafe’ operator के रूप में वर्गीकृत किया गया है, और इसकी RPKI filtering लागू नहीं पाई गई
विज्ञापन

BGP डेटा विश्लेषण

  • ris.ripe.net के public data और bgpdump tool का इस्तेमाल कर Cloudflare द्वारा न दिखाए गए छूटे हुए prefixes निकाले गए
    • विश्लेषण में AS path में CANTV(8048) 10 बार दोहराया गया
    • BGP छोटे paths को प्राथमिकता देता है, इसलिए यह दोहराव असामान्य path संरचना का संकेत है
  • सभी 8 prefixes 200.74.224.0/20 block के भीतर थे
    • WHOIS lookup के अनुसार, यह Dayco Telecom(कराकस स्थित) के स्वामित्व में है
  • reverse DNS lookup के नतीजों में इस IP range में बैंक, इंटरनेट provider, email servers और अन्य महत्वपूर्ण infrastructure शामिल पाए गए
विज्ञापन

घटना की टाइमलाइन

  • 2 जनवरी 15:40 UTC: BGP route leak का पता चला (Cloudflare Radar)
  • 3 जनवरी लगभग 06:00: कराकस विस्फोट की रिपोर्ट (NPR)
  • 3 जनवरी 06:00: अमेरिकी सेना मादुरो के निवास पर पहुँची (NBC News)
  • 3 जनवरी 08:29: मादुरो, USS Iwo Jima पर सवार (CNN)
  • इस दौरान संकेत मिले कि BGP traffic को तीसरे transit point की ओर मोड़ा गया, और यदि उस path को नियंत्रित किया गया हो तो सूचना एकत्र करने की संभावना मौजूद थी

विश्लेषण और अवलोकन

  • path में CANTV AS8048 का 10 बार डाला जाना traffic priority कम करने का प्रभाव पैदा करता है
    • यह जानबूझकर किया गया था या नहीं, यह स्पष्ट नहीं है, लेकिन असामान्य path manipulation (shenanigans) होना साफ़ है
  • सिर्फ़ public data के आधार पर भी उस समय की network anomaly गतिविधि का आगे विश्लेषण करना सार्थक है
  • लेख राजनीतिक व्याख्या से बचते हुए, पूरी तरह offensive security दृष्टिकोण से तकनीकी असामान्यता पर केंद्रित है

अन्य सुरक्षा-संबंधी लिंक संग्रह

  • MCP Security: दिखाया गया कि malicious MCP servers AI prompts और environment variables चुरा सकते हैं
  • The Year in LLMs (2025) : reasoning models, coding agents, China open-weight models, MCP adoption आदि का सार
  • Linux is Good Now: 2026 को Linux desktop का वर्ष मानने पर चर्चा
  • No strcpy Either: curl project ने strcpy() हटाकर buffer size स्पष्ट करने वाला wrapper पेश किया
  • Kubernetes Networking Best Practices: CNI चयन, network policy, service mesh, troubleshooting guide

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-01-06
Hacker News की राय

  • BGP ट्रैफ़िक को A से B जाने के दौरान C के रास्ते मोड़ने के लिए routing manipulation किया जा सकता है
    अगर C बिंदु पर नियंत्रण हो तो जानकारी इकट्ठा की जा सकती है, लेकिन इस बार CANTV(AS8048) के मामले में यह सिर्फ़ AS path prepending जैसा दिखता है
    यह ट्रैफ़िक कम करने के लिए इस्तेमाल होने वाला आम traffic engineering तरीका है, और पहले भी अक्सर देखा गया पैटर्न है
    इस बार लगता है कि Telecom Italia Sparkle(AS6762) का path GlobeNet Cabos Sumarinos Columbia(AS52320) तक propagate हुआ, और इसकी वजह साधारण configuration error होने की संभावना ज़्यादा है
    Dayco Telecom(AS21980) की ओर route hijack के निशान नहीं हैं, बल्कि prepending की वजह से CANTV से होकर जाने की संभावना और कम हो गई थी

  • लेख में दिलचस्प बात यह थी कि 1.1.1.1 के DNS queries में 7% HTTPS type के थे
    यह TLS 1.3 के ECH(Encrypted Client Hello) implementation से जुड़ा है, जहाँ DNS server की public key host करता है ताकि HTTPS request में server name पूरी तरह encrypt किया जा सके
    अभी Nginx जैसे प्रमुख web servers इसे support नहीं करते, इसलिए यह 7% ज़्यादातर Cloudflare के अपने ट्रैफ़िक का हिस्सा होने की संभावना है
    संबंधित डेटा Cloudflare Radar पर देखा जा सकता है

    • browser जब यह जाँचता है कि कोई site HTTP3 support करती है या नहीं, तब भी यही query इस्तेमाल होती है
      अगर connection धीमा हो तो यह अपने आप HTTP1/2 पर auto fallback कर जाता है
    • Adguard Home आदि में DNS requests को HTTPS के ज़रिए process करने के लिए सेट किया जा सकता है
      उदाहरण: https://dns.cloudflare.com/dns-query
    • इस तरीके में DNS चरण पर host name उजागर नहीं होता
      हालाँकि मैंने अभी इसे खुद test नहीं किया है

  • मेरा मानना है कि परमाणु हथियार रखने वाले देश ऐसी kidnapping operations के निशाने से बाहर रहेंगे
    बल्कि इस तरह की घटनाएँ परमाणु प्रसार का दबाव और बढ़ाएँगी

    • ऐसा लगता है कि उत्तर कोरिया शुरू से सही था
      पहले यह अति लगता था, लेकिन अब हम ही मज़ाक का पात्र जैसे बन गए हैं
    • BGP hijacking स्तर की घटना का nuclear deterrence से संबंध नहीं है
      यह अमेरिका की decapitation strike जैसी सैन्य कार्रवाई से अलग स्तर की बात है
    • परमाणु क्षमता होना कोई सीधी binary अवधारणा नहीं है
      delivery systems और defense capability ज़्यादा महत्वपूर्ण हैं, और नेता के अपहरण जैसी घटना के परमाणु जवाबी हमले में बदलने की संभावना कम है
      क्योंकि सिर्फ़ nuclear option ‘try’ करना भी बेहद जोखिम भरा आकलन है
      उदाहरण के लिए, ईरान के missile attacks अक्सर इस अनुमान पर आधारित होते हैं कि उनमें से अधिकांश intercept कर लिए जाएँगे
    • nuclear deterrence तभी काम करती है जब वास्तव में उसका इस्तेमाल करने की इच्छाशक्ति हो
      भले ही वेनेज़ुएला के पास परमाणु हथियार होते, तब भी यह घटना शायद फिर भी होती

  • यह घटना दुर्भावनापूर्ण कम और CANTV(AS8048) द्वारा 52320 की ओर prepended announcement भेजे जाने जैसी ज़्यादा लगती है
    बल्कि MDS(269832) की upstream peer connectivity समस्या की वजह से यह path और ज़्यादा साफ़ दिखाई दिया लगता है

  • इस घटना को देखकर लगता है कि अमेरिकी तकनीक पर निर्भरता से पूरी तरह बचना संभव नहीं है
    “अमेरिकी तकनीक में और गहराई से जाओ” जैसी बात विडंबनापूर्ण लगती है

    • इस हमले को अमेरिकी तकनीक की वजह कहना उचित नहीं है
      वेनेज़ुएला पर लगे प्रतिबंधों की वजह से वह शायद चीनी तकनीक ज़्यादा इस्तेमाल करता होगा
      लेकिन भूराजनैतिक प्रतिद्वंद्वी की तकनीक पर निर्भरता जोखिमभरी है, इस बात से सहमति है
    • दुनिया का ज़्यादातर हिस्सा पहले ही Google या Apple devices इस्तेमाल कर रहा है
      निर्भरता और बढ़ाने की गुंजाइश अब बहुत कम बची है
    • तकनीक का development और manufacturing बेहद महँगा होता है
      अगर अपने देश में क्षमता नहीं है, तो आखिरकार दूसरे देशों की तकनीक इस्तेमाल करनी ही पड़ती है
      अमेरिका को बाहर करने से सिर्फ़ ‘अमेरिका-विहीन infrastructure’ मिलता है, आर्थिक मूल्य लगभग वही रहता है
      वेनेज़ुएला जैसे देश अंततः किसी दूसरी महाशक्ति की तकनीकी अधीनता में ही चले जाते हैं
      तकनीकी geopolitics आख़िरकार इस सच्चाई पर आ टिकती है कि “जितनी ज़्यादा रोटी, उतना कम दूसरों की गंदगी खाना पड़ता है

  • जिज्ञासा है कि क्या OSRS(Old School RuneScape) की economy पर इस हमले का असर पड़ा
    शायद इंटरनेट पूरी तरह बंद नहीं हुआ होगा

    • उल्टा OSRS server outage का असर वेनेज़ुएला की अर्थव्यवस्था पर और बड़ा हो सकता है
    • वास्तव में असर पड़ा था, ऐसा एक tweet भी है
    • क्या कोई वेनेज़ुएला OSRS clan के संपर्क में है, यह भी जानने की उत्सुकता है

  • जिज्ञासा है कि क्या Christmas या New Year के दौरान भी ऐसा BGP anomaly हुआ था

    • Cloudflare dashboard में देखने पर, हमले वाले दिन भी कुल मिलाकर यह anomaly जैसा नहीं दिखता

  • लंबाई 15 वाला AS path इंटरनेट पर दिखने के लिए सभी बेहतर paths का गायब होना ज़रूरी है
    इस बार भी शायद वही हुआ, और यह CANTV से असंबंधित लगता है
    कभी-कभी BGP paths withdrawal handling error की वजह से ‘अटके’ रह जाते हैं, और ऐसे में लंबे paths दिखाई दे सकते हैं

  • निष्कर्ष पूरी तरह स्पष्ट नहीं है, लेकिन यह जाँच और विश्लेषण काफ़ी दिलचस्प था
    लगता है कोई और इससे भी ज़्यादा कड़ियाँ खोज सकता है

  • मेरा मानना है कि इस घटना के परिणामस्वरूप ट्रैफ़िक Sparkle से होकर गया होगा और interception संभव हुआ होगा
    हालाँकि network structure की पूरी समझ नहीं होने से पक्का नहीं कह सकता

    • WhatsApp, Telegram, Gmail जैसी सेवाओं के कुछ packets drop करने से संचार में देरी पैदा की जा सकती है
      संकट की स्थिति में यह महत्वपूर्ण वैकल्पिक संचार साधनों को बाधित करने का तरीका बन सकता है
    • वास्तव में सिर्फ़ GlobeNet से Dayco जाने वाला ट्रैफ़िक अस्थायी रूप से CANTV से होकर गुज़रा था
      Telecom Italia Sparkle का विशेष रूप से ज़िक्र क्यों हुआ, यह स्पष्ट नहीं है