Amazonu trvalo viac ako tri hodiny, kým znovu získal kontrolu nad IP adresami, ktoré využíva na hosťovanie cloudových služieb, keď náhle stratil kontrolu. Findings ukazujú, že kvôli tejto chybe mohli hackeri ukradnúť 235,000 XNUMX dolárov v kryptomenách od klientov jedného z napadnutých klientov.
Ako to urobili hackeri
Pomocou techniky tzv Únos BGP, ktorý využíva dobre známe chyby v základnom internetovom protokole, útočníci ovládli približne 256 IP adries. BGP, skratka pre Border Gateway Protocol, je štandardná špecifikácia, ktorú siete autonómnych systémov – organizácie, ktoré riadia prevádzku – používajú na komunikáciu s inými ASN.
Pre podniky, aby mali prehľad o tom, ktoré IP adresy legitímne dodržiavajú ASN, BGP stále primárne počíta s internetovým ekvivalentom ústneho podania, aj keď má zásadnú úlohu pri smerovaní obrovských objemov údajov po celom svete v reálnom čase.
Hackeri sa stali šikovnejšími
/24 blok adries IP, ktorý patrí AS16509, jednej z najmenej 3 ASN prevádzkovaných spoločnosťou Amazonka, bol v auguste náhle oznámený, že bude dostupný prostredníctvom autonómneho systému 209243, ktorý vlastní britský sieťový operátor Quickhost.
Hostiteľ IP adresy cbridge-prod2.celer.network, subdoména zodpovedná za poskytovanie kľúčového inteligentného zmluvného používateľského rozhrania pre kryptoburzu Celer Bridge, bola súčasťou napadnutého bloku na 44.235.216.69.
Keďže dokázali lotyšskej certifikačnej autorite GoGetSSL preukázať, že ovládajú subdoménu, hackeri využili prevzatie na získanie certifikátu TLS pre cbridge-prod2.celer.network 17. augusta.
Keď páchatelia získali certifikát, nasadili svoju inteligentnú zmluvu v rámci rovnakej domény a sledovali návštevníkov, ktorí sa pokúšali navštíviť legitímnu stránku Celer Bridge.
Podvodná zmluva si vyžiadala 234,866.65 32 USD z XNUMX účtov, na základe nasledujúcej správy od tímu spravodajských informácií o hrozbách Coinbase.
Zdá sa, že Amazon bol uhryznutý dvakrát
Útok BGP na IP adresu Amazonu viedol k značným stratám bitcoínov. Znepokojujúco identický incident s použitím systému Amazon Route 53 pre službu doménových mien došlo v roku 2018. Kryptomena v hodnote približne 150,000 XNUMX dolárov od MyEtherWallet zákaznícke účty. Ak hackeri ak použili certifikát TLS dôveryhodný v prehliadači namiesto certifikátu s vlastným podpisom, ktorý nútil používateľov kliknúť na upozornenie, ukradnutá suma mohla byť pravdepodobne vyššia.
Po útoku v roku 2018 Amazon pridal viac ako 5,000 XNUMX IP prefixov na Route Origin Authorizations (ROA), čo sú otvorene dostupné záznamy, ktoré špecifikujú, ktoré ASN majú právo vysielať IP adresy.
Zmena poskytla určitú bezpečnosť od an RPKI (Infrastructure Public Key Infrastructure), ktorá využíva elektronické certifikáty na prepojenie ASN s ich správnymi IP adresami.
Tento výskum ukazuje, že hackeri minulý mesiac predstavili AS16509 a presnejšiu /24 cestu k AS-SET indexovanému v ALTDB, bezplatnom registri pre autonómne systémy na zverejnenie ich princípov smerovania BGP, aby obišli obranu.
Na obranu Amazonu nie je ani zďaleka prvým poskytovateľom cloudu, ktorý stratil kontrolu nad svojimi IP číslami v dôsledku útoku BGP. Už viac ako dve desaťročia je BGP náchylný na chyby v konfigurácii a do očí bijúce podvody. V konečnom dôsledku ide o problém zabezpečenia v celom sektore, ktorý nemôže vyriešiť výlučne Amazon.
Zdroj: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/