Amazon tog mere end tre timer at genvinde kontrollen over de IP-adresser, den bruger til at hoste cloud-baserede tjenester, efter at den pludselig mistede kontrollen. Fund vise, at på grund af denne fejl kunne hackere stjæle $235,000 i kryptovalutaer fra klienter hos en af de kompromitterede klienter.
Hvordan hackerne gjorde det
Ved at bruge en teknik kaldet BGP-kapring, som udnytter velkendte fejl i en grundlæggende internetprotokol, tog angriberne kontrol over omkring 256 IP-adresser. BGP, forkortelse for Border Gateway Protocol, er en standardspecifikation, som autonome systemnetværk – organisationer, der dirigerer trafik – bruger til at kommunikere med andre ASN'er.
For virksomheder at holde styr på, hvilke IP-adresser der lovligt overholder hvilke ASN'er, BGP tæller stadig primært på internettet, der svarer til mund-til-mund, omend dets afgørende rolle i at dirigere enorme mængder data over hele kloden i realtid.
Hackerne blev mere dygtige
En /24-blok af IP-adresser, der tilhører AS16509, en af mindst 3 ASN'er, der drives af Amazon, blev pludselig annonceret for at være tilgængelig via det autonome system 209243, som ejes af den britiske netværksoperatør Quickhost, i august.
IP-adresseværten cbridge-prod2.celer.network, et underdomæne, der har ansvaret for at levere en afgørende smart kontraktbrugergrænseflade til Celer Bridge kryptobørs, var en del af den kompromitterede blok på 44.235.216.69.
Da de kunne vise den lettiske certifikatmyndighed GoGetSSL, at de kontrollerede underdomænet, udnyttede hackerne overtagelsen til at få et TLS-certifikat til cbridge-prod2.celer.network den 17. august.
Da de havde fået certifikatet, implementerede gerningsmændene deres smarte kontrakt inden for det samme domæne og holdt øje med besøgende, der forsøgte at besøge den legitime Celer Bridge-side.
Den svigagtige kontrakt hentede $234,866.65 fra 32 konti, baseret på følgende rapport fra Coinbases trusselsefterretningsteam.
Det ser ud til, at Amazon er blevet bidt to gange
Et BGP-angreb på en Amazon IP-adresse har resulteret i betydelige bitcoin-tab. En foruroligende identisk hændelse ved brug af Amazons Route 53-system til domænenavnetjeneste forekom i 2018. Ca. $150,000 værd af kryptovaluta fra MyEtherWallet kundekonti. Hvis hackere havde brugt et browser-betroet TLS-certifikat i stedet for et selvsigneret, der tvang brugerne til at klikke sig igennem en meddelelse, kunne det stjålne beløb sandsynligvis have været større.
Efter overfaldet i 2018, Amazon tilføjet over 5,000 IP-præfikser til Route Origin Authorizations (ROA'er), som er åbent tilgængelige poster, der specificerer, hvilke ASN'er, der har ret til at udsende IP-adresser.
Ændringen gav en vis sikkerhed fra en RPKI (Resource Public Key Infrastructure), som anvender elektroniske certifikater til at forbinde ASN til deres korrekte IP-adresser.
Denne forskning viser, at hackerne i sidste måned introducerede AS16509 og den mere præcise /24-rute til et AS-SET indekseret i ALTDB, et gratis register til autonome systemer til at offentliggøre deres BGP-routingprincipper, for at komme uden om forsvaret.
Til Amazons forsvar er det langt fra den første cloud-udbyder, der har mistet kontrollen over sine IP-numre på grund af et BGP-angreb. I over to årtier har BGP været modtagelig for skødesløse konfigurationsfejl og åbenlys svindel. I sidste ende er sikkerhedsproblemet et sektordækkende problem, som ikke udelukkende kan løses af Amazon.
Kilde: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/