Amazon potrzebował ponad trzech godzin, aby odzyskać kontrolę nad adresami IP, których używa do hostowania usług opartych na chmurze, po tym, jak nagle stracił kontrolę. Ustalenia pokazują, że z powodu tej luki hakerzy mogli ukraść 235,000 XNUMX USD w kryptowalutach od klientów jednego z zaatakowanych klientów.
Jak zrobili to hakerzy?
Używając techniki zwanej Przejęcie BGP, który wykorzystuje dobrze znane luki w podstawowym protokole internetowym, atakujący przejęli kontrolę nad około 256 adresami IP. BGP, skrót od Border Gateway Protocol, to standardowa specyfikacja, której sieci systemów autonomicznych — organizacje kierujące ruchem — używają do komunikowania się z innymi ASN.
Aby przedsiębiorstwa mogły śledzić, które adresy IP zgodnie z prawem stosują się do których ASN, BGP nadal liczy się przede wszystkim na Internetowy odpowiednik przekazu szeptanego, aczkolwiek jego kluczową rolę w routingu ogromnych ilości danych na całym świecie w czasie rzeczywistym.
Hakerzy stali się bardziej przebiegli
Blok /24 adresów IP należący do AS16509, jeden z co najmniej 3 ASN-ów prowadzonych przez Amazonka, został nagle ogłoszony w sierpniu jako dostępny za pośrednictwem autonomicznego systemu 209243, którego właścicielem jest brytyjski operator sieci Quickhost.
Host adresu IP cbridge-prod2.celer.network, subdomena odpowiedzialna za zapewnienie kluczowego interfejsu użytkownika inteligentnego kontraktu dla wymiany kryptograficznej Celer Bridge, był częścią zaatakowanego bloku pod adresem 44.235.216.69.
Ponieważ mogli pokazać łotewskiemu urzędowi certyfikacji GoGetSSL, że kontrolowali subdomenę, hakerzy wykorzystali przejęcie, aby 2 sierpnia uzyskać certyfikat TLS dla cbridge-prod17.celer.network.
Po uzyskaniu certyfikatu sprawcy wdrożyli swój inteligentny kontrakt w tej samej domenie i obserwowali odwiedzających, którzy próbowali odwiedzić legalną stronę Celer Bridge.
Oszukańcza umowa pochłonęła 234,866.65 32 dolarów z XNUMX kont, w oparciu o następujący raport zespołu ds. analizy zagrożeń Coinbase.
Wygląda na to, że Amazon został ugryziony dwa razy
Atak BGP na adres IP Amazona spowodował znaczne straty w bitcoinach. Niepokojąco identyczny incydent z wykorzystaniem systemu Route 53 firmy Amazon do obsługi nazw domen wystąpił w 2018. Około 150,000 XNUMX dolarów kryptowaluty od MyEtherWallet rachunki klientów. Jeśli hakerzy użył certyfikatu TLS zaufanego w przeglądarce zamiast certyfikatu z podpisem własnym, który zmuszał użytkowników do kliknięcia powiadomienia, skradziona kwota prawdopodobnie mogła być większa.
Po ataku z 2018 r. Amazon dodano ponad 5,000 prefiksów IP do autoryzacji pochodzenia trasy (ROA), które są publicznie dostępnymi rekordami, które określają, które ASN mają prawo do rozgłaszania adresów IP.
Zmiana zapewniła pewne bezpieczeństwo od RPKI (Infrastruktura Klucza Publicznego Zasobów), który wykorzystuje certyfikaty elektroniczne do łączenia ASN z ich prawidłowymi adresami IP.
To badanie pokazuje, że hakerzy w zeszłym miesiącu wprowadzili AS16509 i bardziej precyzyjną trasę /24 do AS-SET indeksowanego w ALTDB, darmowym rejestrze systemów autonomicznych do publikowania zasad routingu BGP, aby ominąć zabezpieczenia.
W obronie Amazona daleko mu do pierwszego dostawcy chmury, który stracił kontrolę nad swoimi numerami IP w wyniku ataku BGP. Przez ponad dwie dekady BGP był podatny na nieostrożne błędy konfiguracyjne i rażące oszustwa. Ostatecznie kwestia bezpieczeństwa to problem dotyczący całego sektora, którego nie może rozwiązać wyłącznie Amazon.
Źródło: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/