Anomali BGP yang Terjadi Saat Pemadaman Listrik di Venezuela

 (loworbitsecurity.com)
2 poin oleh GN⁺ 2026-01-06 | 1 komentar | Bagikan ke WhatsApp
  • Bersamaan dengan krisis pemadaman listrik di Venezuela, teramati anomali routing BGP yang berpusat pada CANTV (AS8048)
  • Menurut data Cloudflare Radar, pada 2 Januari ada 8 prefiks IP yang mencakup rute CANTV yang dirouting melalui jalur AS yang tidak normal
  • Jalur ini mencakup Sparkle (Italia) dan GlobeNet (Kolombia), dan Sparkle diklasifikasikan sebagai operator “tidak aman” yang tidak menerapkan filtering RPKI
  • Hasil analisis bgpdump menunjukkan bahwa nomor CANTV (8048) diulang 10 kali dalam jalur AS, membentuk pola yang tidak sesuai dengan aturan pemilihan jalur normal, dan blok IP tersebut dikonfirmasi milik Dayco Telecom di Caracas
  • Karena kebocoran rute BGP, pemadaman, ledakan, dan waktu masuknya militer AS terjadi berdekatan, hal ini dengan jelas menunjukkan adanya aktivitas abnormal di tingkat jaringan

Pemadaman di Venezuela dan anomali BGP

  • Di tengah krisis pemadaman listrik di Venezuela, terjadi kebocoran rute BGP (route leak) yang berpusat pada CANTV (AS8048)
    • Dalam data Cloudflare Radar, 8 prefiks IP dirouting melalui jalur abnormal yang melewati CANTV
    • Jalur tersebut mencakup Sparkle (Italia) dan GlobeNet (Kolombia)
  • Cloudflare Radar mencatat lonjakan pengumuman BGP (announcement) dan penurunan ruang alamat IP publik pada 2 Januari
    • Penyebabnya tidak jelas
  • Sparkle diklasifikasikan sebagai operator “tidak aman” di isbgpsafeyet.com, dan dipastikan tidak menerapkan filtering RPKI

Analisis data BGP

  • Dengan menggunakan data publik dari ris.ripe.net dan alat bgpdump, prefiks yang hilang dan tidak ditampilkan oleh Cloudflare diekstraksi
    • Hasil analisis menunjukkan bahwa CANTV (8048) diulang 10 kali dalam jalur AS
    • Karena BGP lebih memilih jalur yang pendek, pengulangan seperti ini menunjukkan konfigurasi jalur yang tidak normal
  • Kedelapan prefiks semuanya termasuk dalam blok 200.74.224.0/20
    • Hasil pencarian WHOIS mengonfirmasi bahwa blok itu dimiliki oleh Dayco Telecom (berbasis di Caracas)
  • Hasil pencarian DNS terbalik menunjukkan bahwa rentang IP tersebut mencakup infrastruktur penting seperti bank, penyedia internet, dan server email

Linimasa kejadian

  • 2 Januari 15:40 UTC: Kebocoran rute BGP terdeteksi (Cloudflare Radar)
  • 3 Januari sekitar 06:00: Ledakan di Caracas dilaporkan (NPR)
  • 3 Januari 06:00: Militer AS tiba di kediaman Maduro (NBC News)
  • 3 Januari 08:29: Maduro naik ke USS Iwo Jima (CNN)
  • Pada periode ini terdapat indikasi bahwa trafik BGP dialihkan melalui transit pihak ketiga, dan jika jalur tersebut dikendalikan, ada kemungkinan pengumpulan informasi

Analisis dan pengamatan

  • Penyisipan CANTV AS8048 sebanyak 10 kali dalam jalur menimbulkan efek menurunkan prioritas trafik
    • Apakah ini disengaja atau tidak masih belum jelas, tetapi jelas ada manipulasi jalur yang tidak normal (shenanigans)
  • Bahkan hanya dengan data publik, aktivitas anomali jaringan saat itu layak untuk dianalisis lebih lanjut
  • Tulisan ini tidak memasukkan interpretasi politik, dan murni membahas anomali teknis dari sudut pandang keamanan ofensif

Kumpulan tautan terkait keamanan lainnya

  • MCP Security: mendemonstrasikan bahwa server MCP berbahaya dapat mencuri prompt AI dan variabel lingkungan
  • The Year in LLMs (2025): ringkasan model penalaran, agen coding, model open-weight dari Tiongkok, adopsi MCP, dan lainnya
  • Linux is Good Now: diskusi yang melihat 2026 sebagai tahun desktop Linux
  • No strcpy Either: proyek curl menghapus strcpy() dan memperkenalkan wrapper dengan ukuran buffer yang dinyatakan secara eksplisit
  • Kubernetes Networking Best Practices: pemilihan CNI, kebijakan jaringan, service mesh, dan panduan troubleshooting

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-06
Pendapat Hacker News

  • Trafik BGP bisa dimanipulasi peruteannya agar saat berjalan dari A ke B, ia melewati C
    Jika titik C dikendalikan, pengumpulan informasi menjadi mungkin, tetapi dalam kasus CANTV (AS8048) kali ini tampaknya hanya AS path prepending sederhana
    Ini adalah teknik rekayasa trafik yang umum untuk mengurangi trafik, dan merupakan pola yang sudah sering digunakan sebelumnya
    Kali ini tampaknya rute Telecom Italia Sparkle (AS6762) tersebar ke GlobeNet Cabos Sumarinos Columbia (AS52320), sehingga kemungkinan besar hanya kesalahan konfigurasi
    Tidak ada jejak pembajakan rute ke Dayco Telecom (AS21980), malah karena prepending kemungkinan melewati CANTV justru menjadi lebih rendah

  • Hal menarik dari artikel ini adalah bahwa 7% kueri DNS ke 1.1.1.1 bertipe HTTPS
    Ini terkait dengan implementasi ECH (Encrypted Client Hello) di TLS 1.3, di mana DNS meng-host kunci publik server untuk mengenkripsi sepenuhnya nama server dalam permintaan HTTPS
    Karena server web utama seperti Nginx masih belum mendukung ini, kemungkinan besar 7% tersebut sebagian besar adalah trafik milik Cloudflare sendiri
    Data terkait dapat dilihat di Cloudflare Radar

    • Browser juga memakai kueri ini saat memeriksa apakah sebuah situs mendukung HTTP3
      Jika koneksi lambat, akan fallback otomatis ke HTTP1/2
    • Adguard Home dan sejenisnya dapat diatur agar memproses permintaan DNS melalui HTTPS
      Contoh: https://dns.cloudflare.com/dns-query
    • Dengan cara ini, nama host tidak terekspos pada tahap DNS
      Saya sendiri belum mengujinya secara langsung

  • Saya rasa negara pemilik senjata nuklir akan dikecualikan dari target operasi penculikan seperti ini
    Insiden seperti ini justru tampaknya akan meningkatkan tekanan ke arah proliferasi nuklir

    • Rasanya Korea Utara benar sejak awal
      Dulu saya menganggapnya berlebihan, tetapi sekarang justru kita yang menjadi badutnya
    • Jika skalanya hanya setingkat pembajakan BGP, itu tidak ada kaitannya dengan daya tangkal nuklir
      Levelnya berbeda dengan tindakan militer seperti operasi pemenggalan kepemimpinan oleh AS
    • Kepemilikan nuklir bukan konsep biner yang sederhana
      Sarana pengiriman dan kemampuan pertahanan itu penting, dan kecil kemungkinan insiden seperti penculikan pemimpin akan berujung pada pembalasan nuklir
      Karena sekadar ‘mencoba’ menggunakan nuklir saja sudah merupakan kalkulasi yang berbahaya
      Misalnya, serangan misil Iran diasumsikan sejak awal bahwa sebagian besar akan berhasil dicegat
    • Daya tangkal nuklir hanya bekerja bila ada kemauan untuk benar-benar menggunakannya
      Sekalipun Venezuela punya senjata nuklir, kejadian kali ini kemungkinan tetap akan terjadi

  • Insiden ini tampaknya lebih merupakan CANTV (AS8048) yang mengirim pengumuman dengan prepending ke 52320, bukan tindakan jahat
    Malah masalah koneksi peer hulu MDS (269832) tampaknya membuat rute seperti ini menjadi lebih mencolok

  • Melihat insiden ini, saya merasa mustahil untuk sepenuhnya menghindari ketergantungan pada teknologi AS
    Kalimat “masuk lebih dalam ke teknologi AS” terdengar ironis

    • Tidak ada dasar untuk menyimpulkan bahwa serangan ini terjadi karena teknologi AS
      Venezuela justru kemungkinan memakai lebih banyak teknologi Tiongkok akibat sanksi
      Namun saya setuju bahwa ketergantungan pada teknologi dari musuh geopolitik itu berbahaya
    • Sebagian besar dunia sudah memakai perangkat Google atau Apple
      Hampir tidak ada lagi ruang untuk menambah tingkat ketergantungan
    • Teknologi membutuhkan biaya pengembangan dan manufaktur yang sangat besar
      Jika tidak punya kemampuan domestik, pada akhirnya harus memakai teknologi negara lain
      Jika AS dikesampingkan, yang didapat hanya ‘infrastruktur tanpa AS’, dan nilai ekonominya kurang lebih sama
      Negara seperti Venezuela pada akhirnya hanya akan berganti menjadi tergantung pada teknologi kekuatan besar lain
      Geopolitik teknologi pada akhirnya adalah realitas bahwa “semakin banyak roti yang kau punya, semakin sedikit kotoran orang lain yang harus kau makan

  • Saya penasaran apakah ekonomi OSRS (Old School RuneScape) terdampak oleh serangan ini
    Rasanya internet tidak sampai benar-benar terputus total

    • Justru gangguan server OSRS mungkin bisa berdampak lebih besar pada ekonomi Venezuela
    • Ada tweet yang mengatakan memang ada dampaknya
    • Saya penasaran apakah ada yang sedang berhubungan dengan klan OSRS Venezuela

  • Saya penasaran apakah ada anomali BGP serupa saat Natal atau Tahun Baru

    • Jika dilihat dari dasbor Cloudflare, bahkan pada hari serangan pun secara keseluruhan tidak terlihat sebagai anomali

  • Agar AS path sepanjang 15 muncul di internet, semua rute yang lebih baik harus lebih dulu menghilang
    Hal seperti itu juga tampaknya terjadi kali ini, dan tampaknya tidak ada hubungannya dengan CANTV
    Kadang rute BGP bisa ‘tertahan’ karena kesalahan pemrosesan withdrawal, dan dalam situasi seperti itu rute panjang bisa muncul

  • Kesimpulannya memang belum jelas, tetapi penyelidikan dan analisis kali ini sangat menarik
    Rasanya seseorang mungkin masih bisa menemukan lebih banyak mata rantai

  • Saya pikir sebagai akibat insiden ini, trafik mungkin saja melewati Sparkle sehingga penyadapan dimungkinkan
    Namun saya kurang memahami struktur jaringannya, jadi tidak yakin

    • Jika sebagian paket dari layanan seperti WhatsApp, Telegram, dan Gmail dijatuhkan, hal itu bisa menyebabkan keterlambatan komunikasi
      Dalam situasi krisis, ini dapat berfungsi sebagai pemblokiran sarana komunikasi alternatif yang penting
    • Kenyataannya, hanya trafik dari GlobeNet ke Dayco yang untuk sementara melewati CANTV
      Tidak jelas mengapa Telecom Italia Sparkle disebut secara khusus