Amazon brauchte mehr als drei Stunden, um die Kontrolle über die IP-Adressen zurückzugewinnen, die es zum Hosten von Cloud-basierten Diensten verwendet, nachdem es plötzlich die Kontrolle verloren hatte. Befund zeigen, dass Hacker aufgrund dieses Fehlers Kryptowährungen im Wert von 235,000 US-Dollar von Clients eines der kompromittierten Clients stehlen könnten.
Wie die Hacker es gemacht haben
Durch die Verwendung einer Technik namens BGP-Hijacking, das bekannte Fehler in einem grundlegenden Internetprotokoll ausnutzt, übernahmen die Angreifer die Kontrolle über etwa 256 IP-Adressen. BGP, kurz für Border Gateway Protocol, ist eine Standardspezifikation, die autonome Systemnetzwerke – Organisationen, die den Datenverkehr leiten – verwenden, um mit anderen ASNs zu kommunizieren.
Damit Unternehmen nachverfolgen können, welche IP-Adressen sich rechtmäßig an welche IP-Adressen halten Lieferavise, BGP setzt immer noch in erster Linie auf das Internet-Äquivalent zur Mundpropaganda, obwohl es eine entscheidende Rolle dabei spielt, riesige Datenmengen in Echtzeit rund um den Globus zu leiten.
Die Hacker wurden raffinierter
Ein /24-Block von IP-Adressen, der zu AS16509 gehört, einer von mindestens 3 ASNs, die von betrieben werden Amazon, wurde im August abrupt angekündigt, über das autonome System 209243 zugänglich zu sein, das dem britischen Netzwerkbetreiber Quickhost gehört.
Der IP-Adresshost cbridge-prod2.celer.network, eine Subdomain, die für die Bereitstellung einer entscheidenden Smart Contract-Benutzeroberfläche für den Kryptoaustausch Celer Bridge zuständig ist, war Teil des kompromittierten Blocks bei 44.235.216.69.
Da sie der lettischen Zertifizierungsstelle GoGetSSL nachweisen konnten, dass sie die Subdomain kontrollierten, nutzten die Hacker die Übernahme, um am 2. August ein TLS-Zertifikat für cbridge-prod17.celer.network zu erhalten.
Sobald sie das Zertifikat hatten, setzten die Angreifer ihren Smart Contract innerhalb derselben Domain ein und warteten auf Besucher, die versuchten, die legitime Celer Bridge-Seite zu besuchen.
Der betrügerische Vertrag hat 234,866.65 $ von 32 Konten abgezogen, basierend auf dem folgenden Bericht des Threat Intelligence-Teams von Coinbase.
Es scheint, dass Amazon zweimal gebissen wurde
Ein BGP-Angriff auf eine Amazon-IP-Adresse hat zu erheblichen Bitcoin-Verlusten geführt. Ein beunruhigend identischer Vorfall, bei dem das Route 53-System von Amazon für den Dienst für Domänennamen verwendet wurde trat in 2018 auf. Kryptowährung im Wert von etwa 150,000 $ von MyEtherWallet Kundenkonten. Wenn die Hacker ein vom Browser vertrauenswürdiges TLS-Zertifikat anstelle eines selbstsignierten Zertifikats verwendet hätte, das die Benutzer dazu zwang, sich durch eine Benachrichtigung zu klicken, wäre der gestohlene Betrag wahrscheinlich größer gewesen.
Nach dem Angriff von 2018 hat Amazon über 5,000 IP-Präfixe hinzugefügt zu den Route Origin Authorizations (ROAs), die offen verfügbare Aufzeichnungen sind, die angeben, welche ASNs das Recht haben, IP-Adressen zu übertragen.
Die Änderung bot eine gewisse Sicherheit von einem RPKI (Ressourcen-Public-Key-Infrastruktur), das elektronische Zertifikate verwendet, um ASN mit ihren korrekten IP-Adressen zu verknüpfen.
Diese Untersuchung zeigt, dass die Hacker im vergangenen Monat AS16509 und die präzisere /24-Route zu einem AS-SET eingeführt haben, das in ALTDB, einer kostenlosen Registrierung für autonome Systeme zur Veröffentlichung ihrer BGP-Routing-Prinzipien, indiziert ist, um die Verteidigung zu umgehen.
Zur Verteidigung von Amazon: Es ist bei weitem nicht der erste Cloud-Anbieter, der aufgrund eines BGP-Angriffs die Kontrolle über seine IP-Nummern verloren hat. Seit über zwei Jahrzehnten ist BGP anfällig für leichtsinnige Konfigurationsfehler und offensichtlichen Betrug. Letztendlich ist das Sicherheitsproblem ein branchenweites Problem, das nicht ausschließlich von Amazon gelöst werden kann.
Quelle: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/