AWS流量劫持用戶以兩小時加密貨幣搶劫發(fā)送到網(wǎng)絡(luò)釣魚站

周二，攻擊者利用核心互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中的扭結(jié)引發(fā)了復(fù)雜的攻擊，導(dǎo)致以太坊錢包開發(fā)者網(wǎng)站的用戶被重定向到網(wǎng)絡(luò)釣魚網(wǎng)站。

MyEtherWallet的用戶在沒有注意到HTTPS瀏覽器警告他們被引導(dǎo)到的網(wǎng)站使用的是自簽名數(shù)字證書后，向攻擊者損失了大約150,000美元。

MyEtherWallet開發(fā)人員在Reddit的一份聲明中表示，許多域名系統(tǒng)(DNS)服務(wù)器在UTC時間中午12點被劫持，將用戶指向一個托管在俄羅斯IP地址上的網(wǎng)絡(luò)釣魚站點。重定向發(fā)生了大約兩個小時。

登錄其帳戶的任何人都會泄露其憑據(jù)。此外，已登錄的瀏覽器將通過瀏覽器cookie傳輸?shù)卿浶畔?。這兩種結(jié)果都使攻擊者有機會登錄真實網(wǎng)站并竊取以太坊。

Cloudflare將此事件描述為BGP或邊界網(wǎng)關(guān)協(xié)議“泄漏”，允許攻擊者錯誤地宣布由Amazon的Route 53托管DNS服務(wù)(MyEtherWallet.com使用)擁有的協(xié)議(IP)空間。

BGP維護(hù)一個可用IP網(wǎng)絡(luò)表，并找到最有效的互聯(lián)網(wǎng)流量路由。ISP向其所在的其他網(wǎng)絡(luò)公布IP地址。

在攻擊期間，總部位于俄亥俄州的IP服務(wù)提供商eNet Inc錯誤地向其同行宣布部分AWS的IP空間，并將其轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)骨干網(wǎng)提供商Hurricane Electric，后者又影響了Cloudflare的DNS目錄解析器。

“在兩個小時的泄漏期間，IP范圍內(nèi)的服務(wù)器僅響應(yīng)對MyEtherWallet的查詢，”Cloudflare工程師Louis Poinsignon解釋道。

“任何被請求由Route53處理的名稱的DNS解析器都會詢問已經(jīng)通過BGP泄漏接管的權(quán)威服務(wù)器。這個中毒的DNS解析器的路由器已接受該路由。”

由于這種情況，使用中毒DNS解析器的任何人(包括CloudFlare自己的解析器)都將返回由俄羅斯提供商擁有的IP地址，而不是亞馬遜的IP地址。

Cloudflare的DNS解析器1.1.1.1在芝加哥，悉尼，墨爾本，珀斯，布里斯班，宿霧，曼谷，奧克蘭，馬斯喀特，吉布提和馬尼拉受到影響，世界其他地區(qū)正常運作。

亞馬遜已發(fā)布聲明稱上游ISP遭到入侵，而不是AWS或Amazon Route 53本身。

“無論是AWS還是亞馬遜Route 53都沒有受到攻擊或入侵。一名上游互聯(lián)網(wǎng)服務(wù)提供商遭到了惡意行為者的攻擊，后者利用該提供商向其與該ISP進(jìn)行對等的其他網(wǎng)絡(luò)宣布了Route 53 IP地址的子集，”亞馬遜稱。

“這些對等網(wǎng)絡(luò)，不知道這個問題，接受了這些公告，并錯誤地將單個客戶域的一小部分流量導(dǎo)向該域的惡意副本。”

安全專家Kevin Beaumont 指出，攻擊者資源充足，控制著目前在以太坊擁有近1600萬美元的錢包。該事件還突出了核心互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中眾所周知的弱點。

“安裝這種規(guī)模的攻擊需要訪問主要ISP和實際計算資源的BGP路由器來處理如此多的DNS流量。當(dāng)他們擁有這樣的訪問級別時，似乎不太可能是MyEtherWallet，”他寫道。

“BGP和DNS中的安全漏洞眾所周知，并且之前遭到了攻擊。這是我見過的最大規(guī)模的攻擊，它結(jié)合了兩者，它強調(diào)了互聯(lián)網(wǎng)安全的脆弱性。它還強調(diào)了在攻擊之前幾乎沒有人注意到有一個盲點。“