Nagyon furcsa és egyáltalán nem véletlenszerűnek tűnő dolog történt szerda kora reggel, magyar idő szerint hajnali 5:43 és reggel 8:13 között:az internet forgalmának egy jelentős szelete ebben az időben egy addig ismeretlen orosz szolgáltató szerverein folyt át.Így például a Google, az Apple, a Facebook és a Microsoft adatforgalma is ezen az orosz szolgáltatón keresztül utazott.

A szakértők szerint nem véletlenül. A részletekben nagyon nem vesznék el, a lényeg, hogy az internet nem pusztán egy decentralizált hálózat, de már a fejlődése is decentralizált volt, így az internet forgalmát szabályozó protokollok nagy része is bizalmi alapú. Így az útvonalválasztást szabályozó Border Gateway Protocol (BGP) is, amivel ártó szándékkal akár vissza is lehet élni.

Most pont ez történt. A szakértők arra figyeltek fel, hogy az eltérített IP-címeket a bevettnél kisebb csomagokra bontották. A szolgáltatók az IPv4 címeiket tömbökben kapják, ezeket a tömböket a perjelet követő számok számával mérik. Minél kisebb ez a szám, annál nagyobb a tömb mérete. Normálisan a szolgáltatók 16 számból álló tömbökre (/16) törik az IPv4-es címeiket, ezek a tömbök egyenként 64000 használható IP-címből állnak. Egy 24 számból álló tömb (/24) viszont már csak 256 címet tartalmaz. A szerdai esemény egyik különös jelensége volt, hogy ilyen kisebb, /24-es tömbökre bontották az IP-címeket.

Ez azért lényeges, mert a BGP leosztási logikája előnyben részesíti a kisebb blokkokat, így a szolgáltatók automatikusan az ilyet kínáló útvonalakra terelik a forgalmat. Az adatok alapján az is világossá vált, hogy ezeket az új útvonalakat egy AS39523 nevű orosz forgalomirányító rendszer jelölte ki. Az AS39523 amúgy évek óta inaktív, leszámítva egy augusztusi incidenst, amikor szintén a Google adatait térítették el.

Az egyelőre rejtély, hogy az AS39523 üzemeltetői mit kezdenek az elvben akár több terrabájtnyi adattal, ami átfolyt a szervereiken. Az adatforgalmat elméletben titkosítják, de vannak módszerek a feltörésükre. És bár ezidáig nincsenek ismereteink arról, hogy hasonló, a BGP-támadással eltérített adatforgalmat dekódolták volna, de az Ars Technica szerint nem elképzelhetetlen, hogy lementették az adatokat bízva abban, hogy idővel lesznek módszerek a titkosítás feltörésére.