Amazon je potreboval več kot tri ure, da je ponovno pridobil nadzor nad naslovi IP, ki jih uporablja za gostovanje storitev v oblaku, potem ko je nenadoma izgubil nadzor. Ugotovitve kažejo, da bi hekerji zaradi te napake lahko ukradli 235,000 $ v kriptovalutah strankam ene od ogroženih strank.
Kako so to storili hekerji
Z uporabo tehnike, ki se imenuje Ugrabitev BGP, ki izkorišča dobro znane napake v temeljnem internetnem protokolu, so napadalci prevzeli nadzor nad približno 256 naslovi IP. BGP, okrajšava za Border Gateway Protocol, je standardna specifikacija, ki jo avtonomna sistemska omrežja – organizacije, ki usmerjajo promet – uporabljajo za komunikacijo z drugimi ASN.
Za podjetja, da spremljajo, kateri naslovi IP zakonito upoštevajo katere ASN, BGP še vedno računa predvsem na internetni ekvivalent od ust do ust, čeprav ima ključno vlogo pri usmerjanju ogromnih količin podatkov po vsem svetu v realnem času.
Hekerji so postali zvitejši
Blok /24 naslovov IP, ki pripada AS16509, enemu od vsaj 3 ASN, ki jih vodi Amazon, je bilo avgusta nenadoma objavljeno, da bo dostopno prek avtonomnega sistema 209243, ki je v lasti britanskega omrežnega operaterja Quickhost.
Gostitelj naslova IP cbridge-prod2.celer.network, poddomena, odgovorna za zagotavljanje ključnega uporabniškega vmesnika pametne pogodbe za kripto borzo Celer Bridge, je bil del ogroženega bloka na 44.235.216.69.
Ker so latvijskemu overitelju potrdil GoGetSSL lahko pokazali, da nadzorujejo poddomeno, so hekerji 2. avgusta izkoristili prevzem za pridobitev potrdila TLS za cbridge-prod17.celer.network.
Ko so prejeli potrdilo, so storilci svojo pametno pogodbo namestili znotraj iste domene in opazovali obiskovalce, ki poskušajo obiskati zakonito stran Celer Bridge.
Na podlagi naslednjega poročila skupine Coinbase za obveščanje o grožnjah je goljufiva pogodba odnesla 234,866.65 $ iz 32 računov.
Zdi se, da je bil Amazon dvakrat ugriznjen
Napad BGP na naslov IP Amazon je povzročil znatne izgube bitcoinov. Vznemirjajoče identičen incident z uporabo Amazonovega sistema Route 53 za storitev domenskih imen zgodilo v letu 2018. Približno 150,000 dolarjev vredne kriptovalute iz MyEtherWallet računi strank. Če je hekerji uporabil potrdilo TLS, ki mu zaupa brskalnik, namesto samopodpisanega, ki je uporabnike prisililo, da kliknejo na obvestilo, bi bil ukradeni znesek verjetno večji.
Po napadu leta 2018 je Amazon dodal več kot 5,000 predpon IP avtorizacijam izvora poti (ROA), ki so javno dostopni zapisi, ki določajo, kateri ASN imajo pravico do oddajanja naslovov IP.
Sprememba je zagotovila nekaj varnosti pred an RPKI (Infrastruktura javnih ključev virov), ki uporablja elektronska potrdila za povezavo ASN z njihovimi pravilnimi naslovi IP.
Ta raziskava kaže, da so hekerji prejšnji mesec uvedli AS16509 in natančnejšo pot /24 do AS-SET, indeksiranega v ALTDB, brezplačnem registru za avtonomne sisteme za objavo svojih načel usmerjanja BGP, da bi se izognili obrambi.
V obrambo Amazona: To še zdaleč ni prvi ponudnik oblakov, ki je izgubil nadzor nad svojimi številkami IP zaradi napada BGP. Več kot dve desetletji je bil BGP dovzeten za neprevidne konfiguracijske napake in očitne goljufije. Navsezadnje je varnostna težava težava celotnega sektorja, ki je ne more rešiti izključno Amazon.
Vir: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/