BGP-Anomalien während des Stromausfalls in Venezuela

 (loworbitsecurity.com)
2 Punkte von GN⁺ 2026-01-06 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Gleichzeitig mit dem Stromausfall in Venezuela wurden Anomalien im BGP-Routing rund um CANTV (AS8048) beobachtet
  • Laut Daten von Cloudflare Radar wurden am 2. Januar acht IP-Präfixe mit CANTV-Pfaden über ungewöhnliche AS-Pfade geroutet
  • Diese Pfade umfassten Sparkle (Italien) und GlobeNet (Kolumbien); Sparkle wird als „unsicherer“ Anbieter ohne RPKI-Filterung eingestuft
  • Die Analyse mit bgpdump zeigte, dass die CANTV-Nummer (8048) im AS-Pfad zehnmal wiederholt wurde, was nicht zu den üblichen Regeln der Pfadauswahl passt; der betroffene IP-Bereich gehört laut Bestätigung zu Dayco Telecom in Caracas
  • Da BGP-Route-Leak, Stromausfall, Explosion und der Zeitpunkt des Eintreffens des US-Militärs zeitlich nahe beieinanderlagen, wird deutlich, dass es Aktivitäten auf Netzwerkebene gab, die vom Normalzustand abwichen

Stromausfall in Venezuela und BGP-Anomalien

  • Während des Stromausfalls in Venezuela trat ein BGP-Route-Leak rund um CANTV (AS8048) auf
    • In den Daten von Cloudflare Radar wurden acht IP-Präfixe über ungewöhnliche Pfade geroutet, die über CANTV führten
    • Zu den Pfaden gehörten Sparkle (Italien) und GlobeNet (Kolumbien)
  • Cloudflare Radar verzeichnete am 2. Januar einen starken Anstieg von BGP-Announcements und einen Rückgang des öffentlichen IP-Adressraums
    • Die Ursache ist unklar
  • Sparkle wird auf isbgpsafeyet.com als „unsicherer“ Anbieter eingestuft; bestätigt wurde außerdem, dass keine RPKI-Filterung angewendet wird

Analyse der BGP-Daten

  • Mithilfe öffentlicher Daten von ris.ripe.net und des Tools bgpdump wurden fehlende Präfixe, die Cloudflare nicht angezeigt hatte, extrahiert
    • Die Analyse ergab, dass CANTV (8048) im AS-Pfad zehnmal wiederholt wurde
    • Da BGP kürzere Pfade bevorzugt, deutet diese Wiederholung auf eine ungewöhnliche Pfadkonstruktion hin
  • Alle acht Präfixe befanden sich innerhalb des Blocks 200.74.224.0/20
    • Eine WHOIS-Abfrage bestätigte, dass er Dayco Telecom (mit Sitz in Caracas) gehört
  • Eine Reverse-DNS-Abfrage zeigte, dass der IP-Bereich kritische Infrastruktur wie Banken, Internetanbieter und E-Mail-Server umfasste

Zeitlicher Ablauf des Vorfalls

    1. Januar, 15:40 UTC: BGP-Route-Leak erkannt (Cloudflare Radar)
    1. Januar, ca. 06:00: Explosion in Caracas gemeldet (NPR)
    1. Januar, 06:00: US-Militär erreicht Maduros Residenz (NBC News)
    1. Januar, 08:29: Maduro an Bord der USS Iwo Jima (CNN)
  • In diesem Zeitraum gibt es Hinweise darauf, dass BGP-Verkehr über einen dritten Transitpunkt umgeleitet wurde; bei Kontrolle dieses Pfads hätte die Möglichkeit zur Informationsgewinnung bestanden

Analyse und Beobachtungen

  • Dass CANTV AS8048 zehnmal in den Pfad eingefügt wurde, hatte den Effekt, die Priorität des Traffics zu senken
    • Ob dies absichtlich geschah, ist unklar, aber es ist eindeutig, dass es ungewöhnliche Manipulationen am Pfad gab
  • Schon auf Basis öffentlich verfügbarer Daten lohnt sich eine weitergehende Analyse der damaligen Netzwerkanomalien
  • Der Beitrag verzichtet auf politische Deutungen und behandelt ausschließlich technische Anomalien aus Sicht offensiver Sicherheit

Weitere sicherheitsbezogene Links

  • MCP Security: Demonstriert, dass bösartige MCP-Server AI-Prompts und Umgebungsvariablen stehlen können
  • The Year in LLMs (2025): Zusammenfassung zu Reasoning-Modellen, Coding Agents, chinesischen Open-Weight-Modellen, MCP-Adoption und mehr
  • Linux is Good Now: Diskussion darüber, ob 2026 das Jahr des Linux-Desktops wird
  • No strcpy Either: Das curl-Projekt entfernt strcpy() und führt Wrapper mit expliziter Puffergröße ein
  • Kubernetes Networking Best Practices: Leitfaden zu CNI-Auswahl, Netzwerk-Policies, Service Mesh und Troubleshooting

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.