Amazon потребовалось более трех часов, чтобы восстановить контроль над IP-адресами, которые она использует для размещения облачных сервисов, после того как она внезапно потеряла контроль. Результаты показывают, что из-за этой уязвимости хакеры смогли украсть 235,000 XNUMX долларов в криптовалютах у клиентов одного из скомпрометированных клиентов.
Как это сделали хакеры
Используя технику, называемую Угон BGP, который использует известные уязвимости в фундаментальном интернет-протоколе, злоумышленники получили контроль над примерно 256 IP-адресами. BGP, сокращение от Border Gateway Protocol, представляет собой стандартную спецификацию, которую сети автономных систем — организации, направляющие трафик, — используют для связи с другими ASN.
Для предприятий, чтобы отслеживать, какие IP-адреса на законных основаниях принадлежат каким ASN, BGP по-прежнему в первую очередь рассчитывает на Интернет-эквивалент сарафанного радио, хотя его решающая роль в маршрутизации огромных объемов данных по всему миру в режиме реального времени.
Хакеры стали хитрее
Блок /24 IP-адресов, принадлежащий AS16509, одному из как минимум 3 ASN, управляемых AmazonВ августе было внезапно объявлено, что он доступен через автономную систему 209243, принадлежащую британскому сетевому оператору Quickhost.
Хост с IP-адресом cbridge-prod2.celer.network, поддомен, отвечающий за предоставление важного пользовательского интерфейса смарт-контракта для криптообмена Celer Bridge, был частью скомпрометированного блока по адресу 44.235.216.69.
Поскольку они могли показать латвийскому центру сертификации GoGetSSL, что они контролируют поддомен, 2 августа хакеры использовали захват, чтобы получить сертификат TLS для cbridge-prod17.celer.network.
Получив сертификат, злоумышленники развернули свой смарт-контракт в том же домене и наблюдали за посетителями, пытающимися посетить законную страницу Celer Bridge.
Мошеннический контракт вывел 234,866.65 32 долларов США с XNUMX счетов, основываясь на следующем отчете группы по анализу угроз Coinbase.
Кажется, Амазонку укусили дважды
Атака BGP на IP-адрес Amazon привела к значительным потерям биткойнов. Тревожный идентичный инцидент с использованием системы Amazon Route 53 для службы доменных имен. произошло в 2018. Криптовалюта на сумму около 150,000 XNUMX долларов от MyEtherWallet учетные записи клиентов. Если Хакеры использовал доверенный браузером сертификат TLS вместо самоподписанного, который заставлял пользователей щелкать уведомление, украденная сумма, вероятно, могла быть больше.
После нападения в 2018 г. Amazon добавлено более 5,000 IP-префиксов к авторизациям происхождения маршрута (ROA), которые являются открытыми записями, указывающими, какие ASN имеют право на широковещательную передачу IP-адресов.
Это изменение обеспечило некоторую безопасность от RPKI (инфраструктура открытых ключей ресурсов), который использует электронные сертификаты для привязки ASN к их правильным IP-адресам.
Это исследование показывает, что хакеры в прошлом месяце представили AS16509 и более точный маршрут /24 к AS-SET, проиндексированному в ALTDB, бесплатном реестре для автономных систем, чтобы публиковать свои принципы маршрутизации BGP, чтобы обойти защиту.
В защиту Amazon скажу, что это далеко не первый поставщик облачных услуг, который потерял контроль над своими IP-адресами из-за атаки BGP. На протяжении более двух десятилетий BGP был подвержен небрежным ошибкам конфигурации и откровенному мошенничеству. В конечном счете, проблема безопасности — это общеотраслевая проблема, которая не может быть решена исключительно Amazon.
Источник: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/