Hiện tượng bất thường BGP xảy ra trong lúc Venezuela mất điện

 (loworbitsecurity.com)
2 điểm bởi GN⁺ 2026-01-06 | 1 bình luận | Chia sẻ qua WhatsApp
  • Đồng thời với sự cố mất điện ở Venezuela, đã quan sát thấy hiện tượng bất thường trong định tuyến BGP xoay quanh CANTV(AS8048)
  • Theo dữ liệu từ Cloudflare Radar, vào ngày 2 tháng 1 có 8 tiền tố IP bao gồm các tuyến của CANTV được định tuyến qua đường đi AS bất thường
  • Trong các đường đi này có Sparkle (Ý)GlobeNet (Colombia), và Sparkle được phân loại là nhà mạng ‘không an toàn’ không áp dụng lọc RPKI
  • Kết quả phân tích bằng bgpdump cho thấy số AS của CANTV (8048) lặp lại 10 lần trong đường đi AS, thể hiện một dạng không phù hợp với các quy tắc chọn đường thông thường, và dải IP liên quan được xác nhận là thuộc sở hữu của Dayco Telecom ở Caracas
  • Việc rò rỉ tuyến BGP, mất điện, vụ nổ và thời điểm quân đội Mỹ tiến vào xảy ra gần nhau cho thấy rõ đã có hoạt động bất thường ở cấp độ mạng

Sự cố mất điện ở Venezuela và hiện tượng bất thường BGP

  • Trong lúc Venezuela mất điện, đã xảy ra rò rỉ tuyến BGP (route leak) xoay quanh CANTV(AS8048)
    • Dữ liệu Cloudflare Radar cho thấy 8 tiền tố IP được định tuyến qua các đường đi bất thường đi qua CANTV
    • Trong đường đi có Sparkle (Ý)GlobeNet (Colombia)
  • Cloudflare Radar ghi nhận sự gia tăng đột biến của các thông báo BGP (announcement)sự suy giảm không gian địa chỉ IP công khai vào ngày 2 tháng 1
    • Nguyên nhân vẫn chưa rõ ràng
  • Sparkle được phân loại là nhà mạng ‘không an toàn’ trên isbgpsafeyet.com, và được xác nhận là không áp dụng lọc RPKI

Phân tích dữ liệu BGP

  • Sử dụng dữ liệu công khai từ ris.ripe.net và công cụ bgpdump để trích xuất các tiền tố bị thiếu mà Cloudflare không hiển thị
    • Kết quả phân tích cho thấy CANTV(8048) lặp lại 10 lần trong đường đi AS
    • Vì BGP ưu tiên đường đi ngắn hơn, sự lặp lại này mang ý nghĩa là cấu trúc đường đi bất thường
  • Cả 8 tiền tố đều nằm trong khối 200.74.224.0/20
    • Kết quả tra cứu WHOIS xác nhận thuộc sở hữu của Dayco Telecom (đặt tại Caracas)
  • Kết quả tra cứu DNS ngược cho thấy dải IP này bao gồm các hạ tầng trọng yếu như ngân hàng, nhà cung cấp Internet, máy chủ email...

Dòng thời gian sự kiện

  • 15:40 UTC ngày 2 tháng 1: Phát hiện rò rỉ tuyến BGP (Cloudflare Radar)
  • Khoảng 06:00 ngày 3 tháng 1: Có báo cáo về vụ nổ ở Caracas (NPR)
  • 06:00 ngày 3 tháng 1: Quân đội Mỹ đến nơi ở của Maduro (NBC News)
  • 08:29 ngày 3 tháng 1: Maduro lên USS Iwo Jima (CNN)
  • Trong khoảng thời gian này, có dấu hiệu lưu lượng BGP bị chuyển hướng qua một điểm trung gian thứ ba, và nếu kiểm soát được tuyến này thì có khả năng thu thập thông tin

Phân tích và quan sát

  • Việc CANTV AS8048 được chèn 10 lần vào đường đi tạo ra hiệu ứng làm giảm độ ưu tiên của lưu lượng
    • Chưa rõ có chủ ý hay không, nhưng rõ ràng đã có hành vi thao túng đường đi bất thường (shenanigans)
  • Chỉ với dữ liệu công khai cũng đã có giá trị để phân tích thêm về hoạt động bất thường trên mạng vào thời điểm đó
  • Bài viết loại bỏ diễn giải chính trị, chỉ đề cập đến hiện tượng kỹ thuật bất thường dưới góc nhìn bảo mật tấn công

Tổng hợp các liên kết bảo mật khác

  • MCP Security: trình diễn việc máy chủ MCP độc hại có thể đánh cắp prompt AI và biến môi trường
  • The Year in LLMs (2025) : tóm tắt các mô hình suy luận, tác nhân lập trình, mô hình open-weight của Trung Quốc, việc chấp nhận MCP...
  • Linux is Good Now: thảo luận coi năm 2026 là năm của desktop Linux
  • No strcpy Either: dự án curl loại bỏ strcpy() và đưa vào wrapper chỉ rõ kích thước bộ đệm
  • Kubernetes Networking Best Practices: hướng dẫn chọn CNI, chính sách mạng, service mesh và xử lý sự cố

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-06
Ý kiến trên Hacker News

  • Có thể thao túng định tuyến để lưu lượng BGP đi từ A đến B nhưng phải qua C
    Nếu kiểm soát điểm C thì có thể thu thập thông tin, nhưng trong trường hợp của CANTV (AS8048) lần này có vẻ chỉ là AS path prepending đơn thuần
    Đây là một cách traffic engineering phổ biến để giảm lưu lượng, và cũng là mẫu hình đã được dùng khá thường xuyên trước đây
    Lần này có vẻ tuyến của Telecom Italia Sparkle (AS6762) đã được lan truyền sang GlobeNet Cabos Sumarinos Columbia (AS52320), nên khả năng cao chỉ là lỗi cấu hình
    Không có dấu hiệu chiếm đoạt tuyến đến Dayco Telecom (AS21980), mà ngược lại do prepending nên khả năng đi qua CANTV còn thấp hơn

  • Điểm thú vị trong bài là 7% truy vấn DNS đến 1.1.1.1 thuộc loại HTTPS
    Điều này liên quan đến việc triển khai ECH (Encrypted Client Hello) trong TLS 1.3, nơi DNS lưu trữ khóa công khai của máy chủ để mã hóa hoàn toàn tên máy chủ trong yêu cầu HTTPS
    Vì các web server lớn như Nginx vẫn chưa hỗ trợ tính năng này, nên 7% đó nhiều khả năng chủ yếu là lưu lượng nội bộ của Cloudflare
    Có thể xem dữ liệu liên quan tại Cloudflare Radar

    • Trình duyệt cũng dùng truy vấn này khi kiểm tra xem một trang có hỗ trợ HTTP3 hay không
      Nếu kết nối chậm thì sẽ tự động fallback về HTTP1/2
    • Adguard Home và các công cụ tương tự có thể được cấu hình để xử lý yêu cầu DNS qua HTTPS
      Ví dụ: https://dns.cloudflare.com/dns-query
    • Với cách này, tên host không bị lộ ở giai đoạn DNS
      Dù vậy vẫn chưa tự kiểm thử trực tiếp

  • Tôi nghĩ các quốc gia sở hữu vũ khí hạt nhân sẽ không bị nhắm tới trong những chiến dịch bắt cóc kiểu này
    Những vụ việc như thế này ngược lại có thể càng làm tăng áp lực phổ biến vũ khí hạt nhân

    • Cảm giác như Triều Tiên ngay từ đầu đã đúng
      Trước đây tôi thấy họ hơi quá, nhưng giờ thì hóa ra chúng ta lại đang đóng vai trò hề
    • Nếu chỉ ở mức sự cố như BGP hijacking thì nó không liên quan đến năng lực răn đe hạt nhân
      khác đẳng cấp với các hành động quân sự như chiến dịch chặt đầu của Mỹ
    • Việc có vũ khí hạt nhân không phải là khái niệm nhị phân đơn giản
      Phương tiện triển khai và năng lực phòng thủ mới là quan trọng, và khả năng một vụ như bắt cóc lãnh đạo dẫn đến trả đũa hạt nhân là thấp
      Bởi ngay cả việc ‘thử’ dùng hạt nhân cũng là một phép tính cực kỳ rủi ro
      Ví dụ, các đợt tấn công tên lửa của Iran thường được thực hiện với giả định rằng phần lớn sẽ bị đánh chặn
    • Răn đe hạt nhân chỉ hiệu quả khi có ý chí sử dụng thực sự
      Dù Venezuela có vũ khí hạt nhân thì chuyện lần này có lẽ vẫn sẽ xảy ra

  • Sự việc lần này có vẻ không phải ác ý mà giống như CANTV (AS8048) đã gửi thông báo prepending đến 52320
    Ngược lại, có vẻ vấn đề kết nối peer upstream của MDS (269832) mới khiến tuyến này trở nên dễ thấy hơn

  • Nhìn sự việc này lại thấy khó mà tránh hoàn toàn sự phụ thuộc vào công nghệ Mỹ
    Câu nói “hãy lún sâu hơn vào công nghệ Mỹ” nghe khá mỉa mai

    • Không có cơ sở để nói vụ tấn công lần này là do công nghệ Mỹ
      Venezuela do bị trừng phạt nên ngược lại còn có khả năng dùng công nghệ Trung Quốc nhiều hơn
      Tuy vậy, tôi đồng ý rằng phụ thuộc vào công nghệ của đối thủ địa chính trị là điều nguy hiểm
    • Phần lớn thế giới đã dùng thiết bị của Google hoặc Apple rồi
      Gần như không còn nhiều dư địa để tăng thêm mức độ phụ thuộc
    • Công nghệ đòi hỏi chi phí phát triển và sản xuất khổng lồ
      Nếu không có năng lực nội địa thì cuối cùng vẫn phải dùng công nghệ của nước khác
      Loại Mỹ ra thì thứ nhận được chỉ là ‘hạ tầng không có Mỹ’, còn giá trị kinh tế thì cũng tương tự
      Một nước như Venezuela rốt cuộc chỉ chuyển sang lệ thuộc công nghệ của cường quốc khác mà thôi
      Địa chính trị công nghệ rốt cuộc là hiện thực rằng “càng có nhiều bánh mì thì càng phải ăn ít phân của người khác hơn

  • Tôi tò mò không biết nền kinh tế OSRS (Old School RuneScape) có bị ảnh hưởng bởi vụ này không
    Có vẻ Internet không bị cắt hoàn toàn

    • Có khi sự cố máy chủ OSRS lại còn ảnh hưởng đến kinh tế Venezuela nhiều hơn
    • Thực sự có tweet nói rằng đã có tác động
    • Không biết có ai đang liên lạc với clan OSRS ở Venezuela không

  • Tôi tự hỏi vào dịp Giáng sinh hay năm mới có từng có hiện tượng BGP bất thường tương tự không

    • Nếu nhìn trên dashboard của Cloudflare thì ngay cả ngày bị tấn công, tổng thể cũng không có vẻ là ngoại lệ

  • Để một AS path dài 15 xuất hiện trên Internet thì mọi tuyến tốt hơn đều phải biến mất
    Lần này cũng đã xảy ra như vậy, và điều đó có vẻ không liên quan đến CANTV
    Có những trường hợp tuyến BGP bị “giữ lại” do lỗi xử lý rút tuyến, và khi đó các tuyến dài có thể xuất hiện

  • Dù kết luận chưa thật rõ ràng, nhưng quá trình điều tra và phân tích lần này rất thú vị
    Có vẻ rồi ai đó có thể tìm ra thêm nhiều mắt xích liên quan

  • Tôi nghĩ kết quả của sự việc này có thể là lưu lượng đã đi qua Sparkle nên có khả năng bị nghe lén
    Tuy nhiên tôi không rành cấu trúc mạng nên không dám chắc

    • Nếu đánh rơi một phần packet của các dịch vụ như WhatsApp, Telegram, Gmail thì có thể gây chậm liên lạc
      Trong tình huống khủng hoảng, điều này có thể đóng vai trò chặn các phương tiện liên lạc thay thế quan trọng
    • Trên thực tế, chỉ là lưu lượng từ GlobeNet sang Dayco tạm thời đi qua CANTV
      Không rõ vì sao Telecom Italia Sparkle lại được nhắc đến riêng