Згідно з новим дослідженням, із лютого 2022 року майже п’ята частина українського інтернет-простору перейшла під контроль росії або була продана брокерам IP-адрес. Про це йдеться в матеріалі Krebson Security.
Аналіз показує, що значна частина українського простору IPv4 нині належить анонімним проксі-сервісам, які працюють на інфраструктурі деяких із найбільших американських інтернет-провайдерів.
Про це йдеться у звіті, який досліджує, як російське вторгнення вплинуло на ресурс IP-адрес четвертої версії (IPv4) в Україні. Дослідники з компанії Kentik, яка займається моніторингом продуктивності інтернет-мереж, з’ясували, що хоча більшість українських провайдерів не змінювали свою інфраструктуру з початку війни, деякі були змушені продавати значні обсяги цінного адресного простору IPv4, щоб вижити.
Наприклад, за даними Kentik, провідний український провайдер Укртелеком наразі маршрутизує лише 29% IPv4-адресних діапазонів, які були під його контролем на початку війни.
Хоча значна частина цього простору наразі не використовується, в Укртелеком повідомили аналітику Kentik Дагу Медорі, що їм довелося продати частину своїх адресних блоків, щоб забезпечити фінансову стабільність і продовжити надання критичних послуг.
«Оренда частини наших IPv4-ресурсів дозволила нам частково подолати виняткові труднощі, з якими ми зіткнулися після початку повномасштабного вторгнення», — повідомили в Укртелеком.
Медорі виявив, що значна частина IPv4-простору, який раніше належав Укртелекому, наразі розміщена у понад 100 провайдерів по всьому світу, зокрема у трьох великих американських ISP: Amazon (AS16509), AT&T (AS7018) і Cogent (AS174).
Ще один український інтернет-провайдер LVS (AS43310) у 2022 році маршрутизував близько 6000 IPv4-адрес по всій країні. До листопада 2022 року більшість цього простору було передано понад десятку інших мереж, і значну його частину почав оголошувати AT&T.
Подібна ситуація склалася з провайдером TVCOM, який наразі маршрутизує приблизно на 15 000 IPv4-адрес менше, ніж на початку війни. За словами Медорі, більшість цих адрес передано 37 іншим мережам за межами Східної Європи, включно з Amazon, AT&T і Microsoft.
Провайдер Trinity (AS43554) припинив роботу на початку березня 2022 року під час облоги Маріуполя, але його адресний простір згодом почав з’являтися у понад 50 різних мережах по всьому світу. Медорі виявив понад 1000 IPv4-адрес Trinity у мережі AT&T.
Чому ж колишні українські IP-адреси зараз маршрутизуються американськими мережами, такими як AT&T? За даними компанії Spur.us, що відстежує VPN та проксі-сервіси, майже всі адресні діапазони, ідентифіковані Kentik, зараз відповідають комерційним проксі-сервісам, які дозволяють клієнтам анонімно спрямовувати свій інтернет-трафік через комп’ютери третіх осіб.
З погляду вебсайту, трафік із боку користувача проксі виглядає як такий, що походить з орендованої IP-адреси, а не від самого клієнта. Такі сервіси можуть використовуватися для законних цілей — як-от порівняння цін, аналітика продажів, вебсканування та агрегатори контенту. Однак проксі-сервіси також широко застосовуються в кіберзлочинності, оскільки ускладнюють виявлення справжнього джерела шкідливого трафіку.
IPv4-адреси завжди мають високий попит, а отже і вартість. Сьогодні є багато компаній, які готові платити інтернет-провайдерам за оренду їхніх невикористовуваних IPv4-ресурсів. За словами Медорі, брокери IPv4 платять $100–500 на місяць за оренду блоку із 256 адрес, і часто саме проксі- та VPN-провайдери є найбільш охочими до таких ставок.
Огляд публічних записів про маршрутизацію мережі AT&T, які веде провайдер Hurricane Electric, свідчить про те, що значна частина трафіку через мережу AT&T має ознаки проксі-активності — серед маршрутів значна кількість належить не США, а мережам із Угорщини, Литви, Молдови, Маврикію, Палестини, Сейшел, Словенії та України.
У відповідь на запит щодо високої частки іноземних адрес у маршрутах AT&T представники телеком-гіганта повідомили, що компанія нещодавно змінила політику щодо маршрутизації блоків IP-адрес, які не належать і не керуються AT&T. У лютому 2025 року в оновлених умовах надання послуг зазначено, що клієнти повинні до 1 вересня 2025 року перейти на маршрутизацію через власні автономні системи (ASN).
«Щоб забезпечити найвищу якість послуг, у лютому 2025 року ми змінили правила для послуги виділеного інтернету. Ми більше не дозволяємо використання статичних маршрутів із IP-адресами, які не надавали. Ми вже ідентифікуємо відповідних клієнтів і повідомляємо їм, що вони мають 90 днів на перехід до маршрутизації через власні ASN», — зазначили в AT&T.
Іронічно, але змішування українських IP-адрес із проксі-сервісами призвело до того, що багато з них використовують у кібератаках проти самої України й інших ворогів росії. На початку цього місяця ЄС запровадив санкції проти Stark Industries Solutions Inc. — інтернет-провайдера, який з’явився за два тижні до повномасштабного вторгнення і швидко став джерелом масштабних DDoS-атак і фішингових кампаній, здійснюваних російськими хакерами. Аналіз адресного простору Stark показав, що частина з нього надійшла від українських провайдерів і була пов’язана з російськими анонімними сервісами.
За даними Spur, проксі-сервіс IPRoyal наразі використовує блоки IP-адрес кількох українських провайдерів, згаданих у звіті Kentik. Клієнти можуть обирати проксі за містом і країною для перенаправлення трафіку.
Головний технічний директор Spur Райллі Кілмер вважає, що зміна політики AT&T змусить багато проксі-сервісів перейти до інших американських провайдерів із менш жорсткими вимогами.
«AT&T — це перший великий ISP, який реально почав щось робити. Ми відстежуємо кілька сервісів, які відкрито продають IP-адреси AT&T, і буде цікаво побачити, що з ними станеться у вересні», — сказав Кілмер.
Однак, за словами Кілмера, багато інших великих американських провайдерів і далі дозволяють проксі-сервісам приносити свої адреси й розміщувати їх у сегментах, які виглядають як звичайні домашні підключення. Наприклад, у звіті Kentik згадується, що адреси з України також маршрутизуються як проксі-сервіси через Cogent Communications (AS174), провайдера магістрального рівня з Вашингтона, округ Колумбія.
Кілмер зазначає, що Cogent приваблює проксі-сервіси через легкість маршрутизації адрес.
«Справедливо буде сказати, що вони передають багато трафіку», — коментує Кілмер. — «Але є причина, чому проксі так часто з’являються в Cogent: там дуже просто запустити маршрутизацію».
У Cogent відмовились коментувати результати дослідження Kentik.
Читайте також на ProIT: Russian Market: новий лідер у торгівлі викраденими обліковими даними.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
