ความผิดปกติของ BGP ที่เกิดขึ้นระหว่างไฟฟ้าดับในเวเนซุเอลา

 (loworbitsecurity.com)
2 คะแนน โดย GN⁺ 2026-01-06 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีการสังเกตพบ ความผิดปกติของการเราต์ BGP ที่มี CANTV(AS8048) เป็นศูนย์กลาง พร้อมกับเหตุการณ์ไฟฟ้าดับในเวเนซุเอลา
  • ตามข้อมูลจาก Cloudflare Radar เมื่อวันที่ 2 มกราคม มี IP prefix 8 รายการที่รวมเส้นทางของ CANTV ถูกเราต์ผ่าน AS path ที่ผิดปกติ
  • เส้นทางดังกล่าวมี Sparkle(อิตาลี) และ GlobeNet(โคลอมเบีย) รวมอยู่ด้วย โดย Sparkle ถูกจัดเป็นผู้ให้บริการ “ไม่ปลอดภัย” ที่ไม่ใช้ RPKI filtering
  • จากการวิเคราะห์ด้วย bgpdump พบว่าหมายเลข CANTV (8048) ถูก ทำซ้ำ 10 ครั้ง ใน AS path ซึ่งมีลักษณะไม่สอดคล้องกับกฎการเลือกเส้นทางตามปกติ และยืนยันได้ว่าช่วง IP ดังกล่าวเป็นของ Dayco Telecom ในการากัส
  • เนื่องจาก BGP route leak, ไฟฟ้าดับ, เหตุระเบิด และช่วงเวลาที่กองทัพสหรัฐฯ เข้าพื้นที่ เกิดขึ้นใกล้เคียงกัน จึงชี้ให้เห็นอย่างชัดเจนว่ามีกิจกรรมผิดปกติในระดับเครือข่าย

ไฟฟ้าดับในเวเนซุเอลาและความผิดปกติของ BGP

  • ระหว่างเหตุการณ์ไฟฟ้าดับในเวเนซุเอลา ได้เกิด BGP route leak ที่มี CANTV(AS8048) เป็นศูนย์กลาง
    • ข้อมูลจาก Cloudflare Radar แสดงให้เห็นว่า IP prefix 8 รายการถูกเราต์ผ่านเส้นทางผิดปกติที่วิ่งผ่าน CANTV
    • ในเส้นทางมี Sparkle(อิตาลี) และ GlobeNet(โคลอมเบีย) รวมอยู่ด้วย
  • Cloudflare Radar บันทึกการ พุ่งขึ้นของ BGP announcement และ การลดลงของพื้นที่ public IP address เมื่อวันที่ 2 มกราคม
    • สาเหตุยังไม่ชัดเจน
  • Sparkle ถูกจัดเป็นผู้ให้บริการ ไม่ปลอดภัย บน isbgpsafeyet.com และยืนยันว่า ไม่ได้ใช้ RPKI filtering

การวิเคราะห์ข้อมูล BGP

  • ใช้ข้อมูลสาธารณะจาก ris.ripe.net และเครื่องมือ bgpdump เพื่อดึง prefix ที่ขาดหายไป ซึ่ง Cloudflare ไม่ได้แสดง
    • ผลการวิเคราะห์พบว่า CANTV(8048) ถูกทำซ้ำ 10 ครั้งใน AS path
    • เนื่องจาก BGP ให้ความสำคัญกับเส้นทางที่สั้นกว่า การทำซ้ำลักษณะนี้จึงหมายถึง การจัดเส้นทางที่ผิดปกติ
  • prefix ทั้ง 8 รายการอยู่ภายในบล็อก 200.74.224.0/20 ทั้งหมด
    • ผลการค้นหา WHOIS ยืนยันว่าเป็นของ Dayco Telecom (ตั้งอยู่ในกรุงการากัส)
  • ผลการค้นหา reverse DNS พบว่าช่วง IP นี้รวมถึง ธนาคาร ผู้ให้บริการอินเทอร์เน็ต อีเมลเซิร์ฟเวอร์ และโครงสร้างพื้นฐานสำคัญอื่น ๆ

ไทม์ไลน์ของเหตุการณ์

  • 2 มกราคม 15:40 UTC: ตรวจพบ BGP route leak (Cloudflare Radar)
  • 3 มกราคม ราว 06:00: มีรายงานเหตุระเบิดในกรุงการากัส (NPR)
  • 3 มกราคม 06:00: กองทัพสหรัฐฯ เดินทางถึงที่พักของมาดูโร (NBC News)
  • 3 มกราคม 08:29: มาดูโรขึ้นเรือ USS Iwo Jima (CNN)
  • ในช่วงเวลาดังกล่าวมีสัญญาณว่า ทราฟฟิก BGP ถูกอ้อมผ่านจุดผ่านทางของบุคคลที่สาม และหากควบคุมเส้นทางดังกล่าวได้ก็อาจมี ความเป็นไปได้ในการรวบรวมข้อมูล

การวิเคราะห์และข้อสังเกต

  • การที่ CANTV AS8048 ถูกแทรกซ้ำ 10 ครั้งในเส้นทาง ทำให้เกิด ผลในการลดลำดับความสำคัญของทราฟฟิก
    • จะเป็นการตั้งใจหรือไม่ยังไม่ชัดเจน แต่เห็นได้ชัดว่ามี การปรับแต่งเส้นทางผิดปกติ (shenanigans) เกิดขึ้น
  • แม้อาศัยเพียงข้อมูลสาธารณะ ก็ยังมีคุณค่าเพียงพอที่จะวิเคราะห์ กิจกรรมความผิดปกติของเครือข่าย ในช่วงเวลาดังกล่าวเพิ่มเติม
  • บทความนี้ ไม่นำการตีความทางการเมืองมาเกี่ยวข้อง และกล่าวถึงเฉพาะ ความผิดปกติทางเทคนิคจากมุมมองด้านความมั่นคงเชิงรุก เท่านั้น

รวมลิงก์อื่น ๆ ที่เกี่ยวข้องกับความปลอดภัย

  • MCP Security: สาธิตว่า MCP server ที่เป็นอันตรายสามารถขโมย AI prompt และ environment variables ได้
  • The Year in LLMs (2025) : สรุปโมเดลการให้เหตุผล, coding agent, โมเดล open-weight จากจีน, การยอมรับ MCP และอื่น ๆ
  • Linux is Good Now: การอภิปรายที่มองว่าปี 2026 จะเป็นปีของ Linux desktop
  • No strcpy Either: โปรเจกต์ curl ลบ strcpy() ออกและนำ wrapper ที่ระบุขนาดบัฟเฟอร์อย่างชัดเจนมาใช้
  • Kubernetes Networking Best Practices: การเลือก CNI, นโยบายเครือข่าย, service mesh และคู่มือการแก้ปัญหา

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-01-06
ความเห็นจาก Hacker News

  • สามารถ บิดเบือนการกำหนดเส้นทาง ให้ทราฟฟิก BGP จาก A ไป B ต้องวิ่งผ่าน C ได้
    หากควบคุมจุด C ได้ก็สามารถเก็บข้อมูลได้ แต่ในกรณีนี้ของ CANTV (AS8048) ดูเหมือนจะเป็นเพียง AS path prepending ธรรมดา
    นี่เป็นวิธีทำ traffic engineering ที่พบบ่อยเพื่อช่วยลดทราฟฟิก และเป็นรูปแบบที่ถูกใช้บ่อยมาแล้วในอดีต
    ครั้งนี้ดูเหมือนว่าเส้นทางของ Telecom Italia Sparkle (AS6762) ถูกเผยแพร่ไปยัง GlobeNet Cabos Sumarinos Columbia (AS52320) และมีความเป็นไปได้สูงว่าเป็นเพียง ความผิดพลาดในการตั้งค่า
    ไม่พบร่องรอยของการจี้เส้นทางไปยัง Dayco Telecom (AS21980) และในทางกลับกัน การ prepending ยังทำให้โอกาสที่ทราฟฟิกจะผ่าน CANTV ลดลงด้วยซ้ำ

  • จุดที่น่าสนใจในบทความคือ 7% ของ DNS query ไปยัง 1.1.1.1 เป็นชนิด HTTPS
    เรื่องนี้เกี่ยวข้องกับการใช้งาน ECH (Encrypted Client Hello) ใน TLS 1.3 โดย DNS จะโฮสต์ public key ของเซิร์ฟเวอร์เพื่อเข้ารหัสชื่อเซิร์ฟเวอร์ในคำขอ HTTPS ได้ทั้งหมด
    เนื่องจากเว็บเซิร์ฟเวอร์หลักอย่าง Nginx ยังไม่รองรับสิ่งนี้ 7% ดังกล่าวจึงน่าจะเป็นทราฟฟิกของ Cloudflare เองเป็นส่วนใหญ่
    ดูข้อมูลที่เกี่ยวข้องได้ที่ Cloudflare Radar

    • เบราว์เซอร์ก็ใช้ query นี้เพื่อตรวจสอบด้วยว่าเว็บไซต์รองรับ HTTP3 หรือไม่
      หากการเชื่อมต่อช้า ก็จะ fallback อัตโนมัติ ไปใช้ HTTP1/2
    • Adguard Home และเครื่องมืออื่น ๆ สามารถตั้งค่าให้ประมวลผลคำขอ DNS ผ่าน HTTPS ได้
      ตัวอย่าง: https://dns.cloudflare.com/dns-query
    • ด้วยวิธีนี้ ชื่อโฮสต์จะไม่ถูกเปิดเผย ในขั้นตอน DNS
      แต่ยังไม่ได้ลองทดสอบด้วยตนเอง

  • คิดว่าประเทศที่มีอาวุธนิวเคลียร์คงถูกยกเว้นจากการเป็นเป้าหมายของ ปฏิบัติการลักพาตัว แบบนี้
    เหตุการณ์ลักษณะนี้กลับดูเหมือนจะยิ่งเพิ่มแรงกดดันให้เกิดการแพร่ขยายนิวเคลียร์

    • ชวนให้คิดว่าเกาหลีเหนืออาจคิดถูกมาตั้งแต่แรก
      เมื่อก่อนมองว่าเกินไป แต่ตอนนี้เหมือนเรากลายเป็น ตัวตลก เอง
    • ถ้าเป็นเหตุระดับ BGP hijacking ก็ไม่เกี่ยวกับอำนาจยับยั้งด้วยนิวเคลียร์
      มัน คนละระดับ กับปฏิบัติการทางทหารอย่างการสังหารผู้นำของสหรัฐฯ
    • การมีอาวุธนิวเคลียร์ไม่ใช่แค่แนวคิดแบบมีหรือไม่มี
      ระบบส่งและความสามารถในการป้องกัน สำคัญกว่า และโอกาสที่เหตุอย่างการลักพาตัวผู้นำจะนำไปสู่การตอบโต้นิวเคลียร์นั้นต่ำ
      เพราะแม้แต่การ ‘พยายาม’ ใช้นิวเคลียร์ก็เป็นการคำนวณที่เสี่ยงมาก
      ตัวอย่างเช่น การโจมตีด้วยขีปนาวุธของอิหร่านก็ตั้งอยู่บนสมมติฐานว่าส่วนใหญ่จะถูกสกัดกั้น
    • อำนาจยับยั้งด้วยนิวเคลียร์จะทำงานได้ก็ต่อเมื่อมี เจตนาจะใช้จริง
      ต่อให้เวเนซุเอลามีนิวเคลียร์ เหตุการณ์ครั้งนี้ก็น่าจะยังเกิดขึ้นอยู่ดี

  • เหตุการณ์นี้ดูเหมือนจะไม่ใช่การกระทำโดยเจตนาร้าย แต่เป็นกรณีที่ CANTV (AS8048) ส่ง ประกาศที่ prepending ไปยัง 52320
    ที่เห็นเส้นทางนี้เด่นขึ้นน่าจะเป็นเพราะปัญหาการเชื่อมต่อกับ upstream peer ของ MDS (269832) มากกว่า

  • พอเห็นเหตุการณ์นี้แล้วก็รู้สึกว่าคงหลีกเลี่ยงการพึ่งพาเทคโนโลยีสหรัฐฯ แบบสมบูรณ์ไม่ได้
    คำพูดว่า “ให้พึ่งเทคโนโลยีสหรัฐฯ มากขึ้น” ฟังดูประชดประชันดี

    • ไม่มีหลักฐานว่าการโจมตีครั้งนี้เกิดจาก เทคโนโลยีสหรัฐฯ
      เวเนซุเอลามีแนวโน้มจะใช้เทคโนโลยีจีนมากกว่าด้วยซ้ำเพราะการคว่ำบาตร
      แต่ก็เห็นด้วยว่า การพึ่งพาเทคโนโลยีของศัตรูทางภูมิรัฐศาสตร์ เป็นเรื่องเสี่ยง
    • คนส่วนใหญ่ทั่วโลกก็ใช้เครื่องของ Google หรือ Apple กันอยู่แล้ว
      แทบไม่มีพื้นที่ให้ เพิ่มระดับการพึ่งพา มากไปกว่านี้อีก
    • เทคโนโลยีมีต้นทุนการพัฒนาและการผลิตสูงมาก
      ถ้าไม่มีขีดความสามารถในประเทศ ก็สุดท้ายต้องใช้เทคโนโลยีจากประเทศอื่นอยู่ดี
      ถ้าตัดสหรัฐฯ ออก สิ่งที่ได้ก็มีแค่ ‘โครงสร้างพื้นฐานที่ไม่มีสหรัฐฯ’ แต่คุณค่าทางเศรษฐกิจก็ใกล้เคียงเดิม
      ประเทศอย่างเวเนซุเอลาจึงสุดท้ายแค่เปลี่ยนไปเป็น การขึ้นต่อเทคโนโลยีของมหาอำนาจอื่น
      ภูมิรัฐศาสตร์ด้านเทคโนโลยีสุดท้ายก็เป็นความจริงแบบ “ยิ่งมีขนมปังมาก ก็ยิ่งต้องกินของเสียจากคนอื่นน้อยลง

  • สงสัยว่าเศรษฐกิจของ OSRS (Old School RuneScape) ได้รับผลจากการโจมตีครั้งนี้หรือไม่
    อินเทอร์เน็ตคงไม่ได้ถูกตัดขาดทั้งหมด

    • บางที เซิร์ฟเวอร์ OSRS ล่ม อาจส่งผลต่อเศรษฐกิจเวเนซุเอลามากกว่าด้วยซ้ำ
    • มี ทวีต ที่บอกว่าได้รับผลกระทบจริง
    • สงสัยว่าคุณติดต่อกับ แคลน OSRS ของเวเนซุเอลา อยู่หรือเปล่า

  • สงสัยว่าช่วงคริสต์มาสหรือปีใหม่ก็เคยมี ความผิดปกติของ BGP แบบนี้หรือไม่

    • ถ้าดูจากแดชบอร์ดของ Cloudflare แม้แต่วันเกิดเหตุเองก็โดยรวม ไม่ได้ดูเป็นค่าผิดปกติ

  • ถ้าจะให้ AS path ที่ยาว 15 ปรากฏบนอินเทอร์เน็ต เส้นทางที่ดีกว่าทั้งหมดต้องหายไปก่อน
    ครั้งนี้ก็เหมือนเกิดแบบนั้นขึ้น และดูไม่เกี่ยวกับ CANTV
    บางครั้งเส้นทาง BGP อาจถูก ‘ค้างไว้’ เพราะ ข้อผิดพลาดในการประมวลผลการถอนเส้นทาง และในสถานการณ์แบบนั้นเส้นทางยาว ๆ ก็อาจโผล่มาได้

  • แม้ข้อสรุปจะยังไม่ชัดเจน แต่ การสืบสวนและการวิเคราะห์ ครั้งนี้น่าสนใจมาก
    ดูเหมือนว่าอาจมีใครหา จุดเชื่อมโยง เพิ่มเติมได้อีก

  • คิดว่าผลของเหตุการณ์นี้อาจทำให้ทราฟฟิกถูกดักฟังได้ผ่าน Sparkle
    แต่ก็ไม่คุ้นกับโครงสร้างเครือข่ายมากนัก เลยไม่แน่ใจ

    • การ ทิ้งแพ็กเก็ตบางส่วน ของบริการอย่าง WhatsApp, Telegram และ Gmail อาจทำให้การสื่อสารหน่วงได้
      ซึ่งในภาวะวิกฤตอาจกลายเป็นการ ตัดช่องทางสื่อสารสำรองที่สำคัญ
    • ในความเป็นจริงเป็นเพียงทราฟฟิกจาก GlobeNet ไป Dayco ที่ชั่วคราววิ่งผ่าน CANTV เท่านั้น
      ยังไม่ชัดเจนว่าเหตุใดจึงมีการกล่าวถึง Telecom Italia Sparkle เป็นพิเศษ