Amazon heeft meer dan drie uur nodig gehad om de controle terug te krijgen over de IP-adressen die het gebruikt om cloudgebaseerde services te hosten nadat het plotseling de controle verloor. Bevindingen laten zien dat hackers vanwege deze fout $ 235,000 aan cryptocurrencies kunnen stelen van klanten van een van de gecompromitteerde clients.
Hoe de hackers het deden?
Door gebruik te maken van een techniek genaamd BGP-kaping, dat gebruikmaakt van bekende fouten in een fundamenteel internetprotocol, namen de aanvallers de controle over ongeveer 256 IP-adressen. BGP, een afkorting voor Border Gateway Protocol, is een standaardspecificatie die autonome systeemnetwerken - organisaties die het verkeer sturen - gebruiken om te communiceren met andere ASN's.
Voor ondernemingen om bij te houden welke IP-adressen zich op legitieme wijze aan welke houden: ASN's, BGP rekent nog steeds voornamelijk op het internetequivalent van mond-tot-mondreclame, hoewel het een cruciale rol speelt bij het realtime routeren van enorme hoeveelheden gegevens over de hele wereld.
De hackers werden slimmer
Een /24-blok met IP-adressen dat behoort tot AS16509, een van ten minste 3 ASN's die worden beheerd door Amazone, werd in augustus abrupt aangekondigd om toegankelijk te zijn via het autonoom systeem 209243, dat eigendom is van de in het VK gevestigde netwerkoperator Quickhost.
De IP-adreshost cbridge-prod2.celer.network, een subdomein dat verantwoordelijk is voor het leveren van een cruciale gebruikersinterface voor slimme contracten voor de Celer Bridge-crypto-uitwisseling, maakte deel uit van het gecompromitteerde blok op 44.235.216.69.
Omdat ze de Letse certificeringsinstantie GoGetSSL konden laten zien dat ze het subdomein controleerden, gebruikten de hackers de overname om op 2 augustus een TLS-certificaat voor cbridge-prod17.celer.network te bemachtigen.
Zodra ze het certificaat hadden, implementeerden de daders hun slimme contract binnen hetzelfde domein en keken naar bezoekers die probeerden de legitieme Celer Bridge-pagina te bezoeken.
Het frauduleuze contract hevelde $ 234,866.65 over van 32 accounts, gebaseerd op het volgende rapport van Coinbase's threat intelligence-team.
Het lijkt erop dat Amazon twee keer is gebeten
Een BGP-aanval op een Amazon IP-adres heeft geleid tot aanzienlijke bitcoin-verliezen. Een verontrustend identiek incident met Amazon's Route 53-systeem voor domeinnamenservice opgetreden in 2018. Ongeveer $ 150,000 aan cryptocurrency van MyEtherWallet klanten accounts. Als de Hackers een browser-vertrouwd TLS-certificaat had gebruikt in plaats van een zelfondertekend certificaat dat gebruikers dwong door een kennisgeving te klikken, was het gestolen bedrag waarschijnlijk groter.
Na de aanval van 2018 heeft Amazon meer dan 5,000 IP-prefixen toegevoegd naar de Route Origin Authorizations (ROA's), dit zijn vrij beschikbare records die specificeren welke ASN's het recht hebben om IP-adressen uit te zenden.
De verandering bood enige zekerheid van een RPKI (Public Key Infrastructure), die elektronische certificaten gebruikt om ASN aan hun juiste IP-adressen te koppelen.
Dit onderzoek toont aan dat de hackers vorige maand AS16509 en de preciezere /24-route introduceerden naar een AS-SET die is geïndexeerd in ALTDB, een gratis register voor autonome systemen om hun BGP-routeringsprincipes te publiceren, om de verdediging te omzeilen.
Ter verdediging van Amazon is het verre van de eerste cloudprovider die de controle over zijn IP-nummers heeft verloren door een BGP-aanval. Al meer dan twee decennia is BGP vatbaar voor onzorgvuldige configuratiefouten en flagrante fraude. Uiteindelijk is het beveiligingsprobleem een sectorbreed probleem dat niet exclusief door Amazon kan worden opgelost.
Bron: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/