Amazon ha impiegato più di tre ore per riprendere il controllo degli indirizzi IP che utilizza per ospitare i servizi basati su cloud dopo aver perso improvvisamente il controllo. Giudizio mostra che a causa di questo difetto, gli hacker potrebbero rubare $ 235,000 in criptovalute dai clienti di uno dei client compromessi.
Come hanno fatto gli hacker
Usando una tecnica chiamata Dirottamento del BGP, che sfrutta i ben noti difetti di un protocollo Internet fondamentale, gli aggressori hanno preso il controllo di circa 256 indirizzi IP. BGP, abbreviazione di Border Gateway Protocol, è una specifica standard che le reti di sistemi autonomi, le organizzazioni che dirigono il traffico, utilizzano per comunicare con altri ASN.
Affinché le aziende tengano traccia di quali indirizzi IP aderiscono legittimamente a quali ASN, BGP conta ancora principalmente sull'equivalente Internet del passaparola, sebbene il suo ruolo fondamentale nell'instradare enormi volumi di dati in tutto il mondo in tempo reale.
Gli hacker sono diventati più furbi
Un blocco /24 di indirizzi IP che appartiene ad AS16509, uno di almeno 3 ASN gestiti da Amazon, è stato improvvisamente annunciato per essere accessibile tramite il sistema autonomo 209243, di proprietà dell'operatore di rete con sede nel Regno Unito Quickhost, ad agosto.
L'host dell'indirizzo IP cbridge-prod2.celer.network, un sottodominio incaricato di fornire un'interfaccia utente cruciale per lo smart contract per lo scambio crittografico Celer Bridge, faceva parte del blocco compromesso a 44.235.216.69.
Poiché potevano mostrare all'autorità di certificazione lettone GoGetSSL di controllare il sottodominio, gli hacker hanno utilizzato l'acquisizione per ottenere un certificato TLS per cbridge-prod2.celer.network il 17 agosto.
Una volta ottenuto il certificato, gli autori hanno distribuito il loro contratto intelligente all'interno dello stesso dominio e hanno osservato i visitatori che tentavano di visitare la pagina legittima di Celer Bridge.
Il contratto fraudolento ha sottratto $ 234,866.65 da 32 account, sulla base del seguente rapporto del team di intelligence sulle minacce di Coinbase.
Sembra che Amazon sia stato morso due volte
Un assalto BGP a un indirizzo IP di Amazon ha comportato sostanziali perdite di bitcoin. Un incidente identico in modo inquietante che utilizza il sistema Route 53 di Amazon per il servizio di nomi di dominio si è verificato in 2018. Circa $ 150,000 di criptovaluta da MyEtherWallet conti dei clienti. Se la hacker avesse utilizzato un certificato TLS affidabile dal browser invece di uno autofirmato che obbligava gli utenti a fare clic su un avviso, l'importo rubato probabilmente avrebbe potuto essere maggiore.
Dopo l'assalto del 2018, Amazon aggiunti oltre 5,000 prefissi IP alle Route Origin Authorizations (ROA), che sono record disponibili apertamente che specificano quali ASN hanno il diritto di trasmettere indirizzi IP.
La modifica ha fornito una certa sicurezza da un RPKI (infrastruttura a chiave pubblica di risorse), che utilizza certificati elettronici per collegare ASN ai loro indirizzi IP corretti.
Questa ricerca mostra che gli hacker il mese scorso hanno introdotto AS16509 e il percorso più preciso /24 verso un AS-SET indicizzato in ALTDB, un registro gratuito per sistemi autonomi per pubblicare i loro principi di routing BGP, per aggirare le difese.
A difesa di Amazon, è tutt'altro che il primo provider cloud che ha perso il controllo dei propri numeri IP a causa di un attacco BGP. Per oltre due decenni, BGP è stato soggetto a errori di configurazione incuranti e frodi palesi. In definitiva, il problema di sicurezza è un problema a livello di settore che non può essere risolto esclusivamente da Amazon.
Fonte: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/