Для окончательных выводов пока рано, но можно ставить вопросы. Если
это внешняя атака, то почему упал внутренний DHCP (не на одном же оно
раутере с внешними границами?), почему в FB репорты по восстановлению
работы каждой ПГС отдельно (с чего бы это им падать и не приходить в
работу самим автоматически?)

​Насколько я помню, у них в DHCP обвязка из скриптов в которой уже давно никто не может разобраться. Поломка транспорта между площадками может дать подобный эффект.​
 

Были сообщения про постепенное пропадание доступа - это аргумент за
DDoS. Но остальное подсказывает или взлом, или потерю управления уже
из-за внутренней неразберихи.

​Постепенное пропадание и поэтапный подъем говорит скоре о переполнении ​в аппаратных комплексах коммутации, чем о DDoS. Хотя исключать внутренние разборки я бы тоже не стал.
 

(В LuckyNet в ~2000-м была история, напомню

>> Жил-был на edge раутере (с BGP fullview) redistribute map
>> BGP->OSPF, прикрытый redistribute list'ом с deny any. В один сильно
>> не прекрасный момент один из нокеров решил устранить лишнюю
>> сущность в виде list'а.:) Тот из закрытого превратился в пустой и
>> потому открытый.

>> Дежурный удивлённо наблюдал как NAS'ы (которые были от 2511 до 5300)
>> по очереди пропадали из видимости.:) Половина кошек просто
>> перезагрузилась. Другая половина осталась в ROMMON'е, и канальщикам до
>> конца дня была работа ездить по площадкам дёргать anykey.

я б не удивился, если тенденции работы аппаратуры сохранились до сих
пор. Налажать в спешке и добиться такого это элементарно.)

​Нетч, подобное чинится в пределах одного часа в рабочее время и за три в нерабочее. В худшем случае. Помнится из-за комбинации ошибок: имя префикс-листа в сторону абонента и ​абонент случайно наливающий full-view, сеть остановилось минут на 40. Основное время ушло на то, чтобы добраться до проблемного узла и закрыть на нем сессию. Потом еще 30 минут, чтобы вывести стопку 7600 из ступора.


меняли один-два куста, а зацепили всех? (хотя я бы дал 80%, что
абонент перепутал)

​Воля сильно экономит. Что нужно построить могли писать одни люди, а внедрение делали другие.
А дальше скорее всего свою роль сделала бритва Хэнлона.​