Mellékleteink: HUP | Gamekapocs
Keres
>> Hibrid felhőtől a konténereken át, egészen a kvantumprogramozásig - 6 klassz téma a HWSW május 21-i nagy Microsoft Azure meetupján. <<

Kriptopénz-tolvajok térítették el az Amazon IP címeit

Hlács Ferenc, 2018. április 25. 11:59

A támadók 1300 IP-t tereltek el, 150 ezer dollárnak megfelelő összeget zsákmányoltak - szakértők szerint az akció csak bemelegítő kör volt.

Átvették az uralmat ismeretlen támadók az Amazon egyes felhős szolgáltatásokhoz tartozó IP címei fölött, amelyek birtokában tekintélyes mennyiségű kriptopénzt zsákmányoltak. Az akcióhoz nem volt sok időre szükségük, a mintegy 1300 IP cím birtokában nagyjából 2 óra leforgása alatt több mint 150 ezer dollárnak megfelelő kriptovalutát tettek zsebre. Az érintett 1300 cím az Amazon Route53 DNS szolgáltatásához tartozott, amelynek eltérítésével a támadók a MyEtherWallet.com weboldalként tudtak megjelenni a felhasználók felé. A gyanútlanul megadott bejelentkezési adatokat kihasználva aztán hozzáfértek az áldozatok online tárcáihoz.

A támadás a BGP (Border Gateway Protocol) gyengeségét használta ki, amely a különböző önműködő online rendszerek közötti kommunikációt szolgálja a routolási, illetve elérhetőségi információkra vonatkozóan. Miután egyik BGP router alapértelmezetten elfogadja a másik által hirdetett online útvonalakat, ha a hálózat egy pontján valakinek sikerül a saját szájíze szerint módosítani a kommunikációt, azt a következő pont már kérdés nélkül legitimként értékeli. Ennek megfelelően, ahogy az Amazon is hangsúlyozza, nem közvetlenül a AWS-t, vagy a Route 53-t törték fel a támadók, ehelyett egy internetszolgáltatót vettek célba, amelyen keresztül a Route 53 érintett címeit a szolgáltatóval kapcsolatban álló hálózatok felé kommunikálták. Utóbbiak pedig végül a valódi MyEtherWallet oldal helyett a támadók által kezelt másolatra továbbították a szerencsétlenül járt felhasználókat.

amazonill

Kevin Beaumont biztonsági szakértő szerint a támadás végrehajtásához az Equinix egy Chicagóban üzemelő szerverét célozták meg, ugyanakkor az Equinix közleménye szerint nem saját szerverükről van szó, hanem egyik ügyfelük saját eszközéről, amely a cég adatközpontjában található. Az akció másik végének, azaz a hamis weboldalnak egy oroszországi szerver adott otthont, hamis tanúsítványokkal felszerelve.

A szakértő azt is kiemeli, hogy a támadók relatíve kis összeget emeltek el, főleg annak fényében, hogy az akcióhoz köthető tárcákban már azt megelőzően is több mint 27 millió dollárnak megfelelő kriptopénz ült. A szakértő szerint ráadásul valószínűtlen, hogy a MyEhterWallet lett volna az egyetlen célpont, noha egyelőre nem érkezett hír más, a támadásnak áldozatul esett szolgáltatásról. Ezt a gyanút egyébként a támadók tartalékaihoz képest kis összeg, illetve az eltérített IP címek nagy száma is megerősíteni látszik, ugyanakkor az is lehet, hogy az akciót csak próbakörnek, bemelegítésnek szánták esetleges későbbi támadásokhoz. Az eset rávilágít a BGP komoly gyengeségeire, amelyek orvoslása bár a protokoll kiterjedtsége miatt komoly műszaki kihívást jelent, egyre kritikusabbá válik.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
6 klassz téma, 6 jó előadó a HWSW május 21-i nagy Microsoft Azure meetupján.