Amazonu je trebalo više od tri sata da povrati kontrolu nad IP adresama koje koristi za hostovanje usluga zasnovanih na oblaku nakon što je iznenada izgubio kontrolu. nalazi pokazuju da bi zbog ovog propusta hakeri mogli ukrasti 235,000 dolara u kriptovalutama od klijenata jednog od kompromitovanih klijenata.
Kako su to Hakeri uradili
Koristeći tehniku tzv BGP otmica, koji koristi dobro poznate nedostatke u fundamentalnom Internet protokolu, napadači su preuzeli kontrolu nad oko 256 IP adresa. BGP, skraćenica od Border Gateway Protocol, je standardna specifikacija koju mreže autonomnog sistema – organizacije koje usmjeravaju promet – koriste za komunikaciju sa drugim ASN-ovima.
Za preduzeća da prate koje IP adrese se legitimno pridržavaju ASN-ovi, BGP i dalje prvenstveno računa na internetski ekvivalent od usta do usta, iako njegova ključna uloga u usmjeravanju ogromnih količina podataka širom svijeta u realnom vremenu.
Hakeri su postali lukaviji
/24 blok IP adresa koji pripada AS16509, jednom od najmanje 3 ASN-a koje pokreće Amazon, iznenada je najavljeno da će biti dostupno putem autonomnog sistema 209243, koji je u vlasništvu britanskog mrežnog operatera Quickhost, u avgustu.
Host IP adrese cbridge-prod2.celer.network, poddomena zadužena za pružanje ključnog korisničkog interfejsa pametnog ugovora za Celer Bridge kripto razmjenu, bila je dio kompromitovanog bloka na 44.235.216.69.
Pošto su mogli da pokažu letonskom autoritetu za sertifikat GoGetSSL da kontrolišu poddomenu, hakeri su iskoristili preuzimanje da bi dobili TLS sertifikat za cbridge-prod2.celer.network 17. avgusta.
Nakon što su dobili certifikat, počinioci su implementirali svoj pametni ugovor unutar istog domena i pratili posjetitelje koji pokušavaju posjetiti legitimnu stranicu Celer Bridgea.
Lažni ugovor izvukao je 234,866.65 dolara sa 32 računa, na osnovu sljedećeg izvještaja Coinbaseovog tima za obavještavanje o prijetnjama.
Čini se da je Amazon dvaput ugrižen
BGP napad na Amazon IP adresu doveo je do značajnih gubitaka bitkoina. Uznemirujuće identičan incident koji koristi Amazonov Route 53 sistem za uslugu imena domena dogodilo se 2018. godine. Otprilike 150,000 dolara kriptovalute MyEtherWallet račune klijenata. Ako je hakeri je koristio TLS sertifikat od poverenja pretraživača umesto samopotpisanog koji je primorao korisnike da kliknu na obaveštenje, ukradeni iznos je verovatno mogao biti veći.
Nakon napada 2018., Amazon dodano preko 5,000 IP prefiksa autorizacijama za početak rute (ROA), koji su otvoreno dostupni zapisi koji određuju koji ASN-ovi imaju pravo na emitiranje IP adresa.
Promjena je pružila određenu sigurnost od jednog RPKI (Resource Public Key Infrastructure), koji koristi elektronske sertifikate za povezivanje ASN-a sa njihovim ispravnim IP adresama.
Ovo istraživanje pokazuje da su hakeri prošlog mjeseca uveli AS16509 i precizniju /24 rutu do AS-SET indeksiranog u ALTDB, besplatnom registru za autonomne sisteme koji objavljuju svoje principe BGP rutiranja, kako bi zaobišli odbranu.
U Amazonovu odbranu, daleko je od prvog provajdera u oblaku koji je izgubio kontrolu nad svojim IP brojevima zbog BGP napada. Više od dvije decenije, BGP je bio podložan neopreznim greškama u konfiguraciji i očiglednim prijevarama. Konačno, sigurnosni problem je sektorski problem koji ne može riješiti isključivo Amazon.
Izvor: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/