Amazon tog mer än tre timmar att återta kontrollen över de IP-adresser som den använder för att vara värd för molnbaserade tjänster efter att den plötsligt tappade kontrollen. Resultat visa att på grund av denna brist kunde hackare stjäla 235,000 XNUMX $ i kryptovalutor från klienter till en av de utsatta klienterna.
Hur hackarna gjorde det
Genom att använda en teknik som kallas BGP-kapning, som utnyttjar välkända brister i ett grundläggande internetprotokoll, tog angriparna kontroll över cirka 256 IP-adresser. BGP, förkortning för Border Gateway Protocol, är en standardspecifikation som autonoma systemnätverk – organisationer som dirigerar trafik – använder för att kommunicera med andra ASN:er.
För företag att hålla reda på vilka IP-adresser som lagligen följer vilka ASN, BGP räknar fortfarande främst med Internets motsvarighet till mun-till-mun, även om dess avgörande roll för att dirigera enorma mängder data över hela världen i realtid.
Hackarna blev mer listiga
Ett /24-block med IP-adresser som tillhör AS16509, en av minst 3 ASN:er som drivs av amason, tillkännagavs plötsligt vara tillgänglig via det autonoma systemet 209243, som ägs av den brittiska nätverksoperatören Quickhost, i augusti.
IP-adressvärden cbridge-prod2.celer.network, en underdomän som ansvarar för att tillhandahålla ett avgörande smart kontraktsanvändargränssnitt för kryptobörsen Celer Bridge, var en del av det komprometterade blocket på 44.235.216.69.
Eftersom de kunde visa den lettiska certifikatmyndigheten GoGetSSL att de kontrollerade underdomänen, använde hackarna övertagandet för att få ett TLS-certifikat för cbridge-prod2.celer.network den 17 augusti.
När de väl hade certifikatet använde förövarna sitt smarta kontrakt inom samma domän och tittade efter besökare som försökte besöka den legitima Celer Bridge-sidan.
Det bedrägliga kontraktet hämtade 234,866.65 32 $ från XNUMX konton, baserat på följande rapport från Coinbases hotintelligensteam.
Det verkar som att Amazon har blivit biten två gånger
Ett BGP-angrepp på en Amazon IP-adress har resulterat i betydande bitcoinförluster. En oroande identisk incident med Amazons Route 53-system för domännamnstjänst inträffade i 2018. Cirka 150,000 XNUMX $ i kryptovaluta från MyEtherWallet Kundkonton. Om hackare hade använt ett webbläsarbetrodd TLS-certifikat istället för ett självsignerat som tvingade användarna att klicka sig igenom ett meddelande, kan det stulna beloppet förmodligen ha varit större.
Efter överfallet 2018, Amazon lagt till över 5,000 XNUMX IP-prefix till Route Origin Authorizations (ROA), som är öppet tillgängliga poster som anger vilka ASN:er som har rätt att sända IP-adresser.
Förändringen gav viss trygghet från en RPKI (Resource Public Key Infrastructure), som använder elektroniska certifikat för att länka ASN till deras korrekta IP-adresser.
Denna forskning visar att hackarna förra månaden introducerade AS16509 och den mer exakta /24-vägen till ett AS-SET indexerat i ALTDB, ett gratis register för autonoma system för att publicera sina BGP-routingprinciper, för att komma runt försvaret.
Till Amazons försvar är det långt ifrån den första molnleverantören som har tappat kontrollen över sina IP-nummer på grund av en BGP-attack. I över två decennier har BGP varit mottagligt för slarviga konfigurationsfel och uppenbara bedrägerier. I slutändan är säkerhetsproblemet ett branschövergripande problem som inte kan lösas enbart av Amazon.
Källa: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/