AWS流量劫持用戶以兩小時(shí)加密貨幣搶劫發(fā)送到網(wǎng)絡(luò)釣魚(yú)站

周二，攻擊者利用核心互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中的扭結(jié)引發(fā)了復(fù)雜的攻擊，導(dǎo)致以太坊錢包開(kāi)發(fā)者網(wǎng)站的用戶被重定向到網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。

MyEtherWallet的用戶在沒(méi)有注意到HTTPS瀏覽器警告他們被引導(dǎo)到的網(wǎng)站使用的是自簽名數(shù)字證書(shū)后，向攻擊者損失了大約150,000美元。

MyEtherWallet開(kāi)發(fā)人員在Reddit的一份聲明中表示，許多域名系統(tǒng)(DNS)服務(wù)器在UTC時(shí)間中午12點(diǎn)被劫持，將用戶指向一個(gè)托管在俄羅斯IP地址上的網(wǎng)絡(luò)釣魚(yú)站點(diǎn)。重定向發(fā)生了大約兩個(gè)小時(shí)。

登錄其帳戶的任何人都會(huì)泄露其憑據(jù)。此外，已登錄的瀏覽器將通過(guò)瀏覽器cookie傳輸?shù)卿浶畔?。這兩種結(jié)果都使攻擊者有機(jī)會(huì)登錄真實(shí)網(wǎng)站并竊取以太坊。

Cloudflare將此事件描述為BGP或邊界網(wǎng)關(guān)協(xié)議“泄漏”，允許攻擊者錯(cuò)誤地宣布由Amazon的Route 53托管DNS服務(wù)(MyEtherWallet.com使用)擁有的協(xié)議(IP)空間。

BGP維護(hù)一個(gè)可用IP網(wǎng)絡(luò)表，并找到最有效的互聯(lián)網(wǎng)流量路由。ISP向其所在的其他網(wǎng)絡(luò)公布IP地址。

在攻擊期間，總部位于俄亥俄州的IP服務(wù)提供商eNet Inc錯(cuò)誤地向其同行宣布部分AWS的IP空間，并將其轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)骨干網(wǎng)提供商Hurricane Electric，后者又影響了Cloudflare的DNS目錄解析器。

“在兩個(gè)小時(shí)的泄漏期間，IP范圍內(nèi)的服務(wù)器僅響應(yīng)對(duì)MyEtherWallet的查詢，”Cloudflare工程師Louis Poinsignon解釋道。

“任何被請(qǐng)求由Route53處理的名稱的DNS解析器都會(huì)詢問(wèn)已經(jīng)通過(guò)BGP泄漏接管的權(quán)威服務(wù)器。這個(gè)中毒的DNS解析器的路由器已接受該路由。”

由于這種情況，使用中毒DNS解析器的任何人(包括CloudFlare自己的解析器)都將返回由俄羅斯提供商擁有的IP地址，而不是亞馬遜的IP地址。

Cloudflare的DNS解析器1.1.1.1在芝加哥，悉尼，墨爾本，珀斯，布里斯班，宿霧，曼谷，奧克蘭，馬斯喀特，吉布提和馬尼拉受到影響，世界其他地區(qū)正常運(yùn)作。

亞馬遜已發(fā)布聲明稱上游ISP遭到入侵，而不是AWS或Amazon Route 53本身。

“無(wú)論是AWS還是亞馬遜Route 53都沒(méi)有受到攻擊或入侵。一名上游互聯(lián)網(wǎng)服務(wù)提供商遭到了惡意行為者的攻擊，后者利用該提供商向其與該ISP進(jìn)行對(duì)等的其他網(wǎng)絡(luò)宣布了Route 53 IP地址的子集，”亞馬遜稱。

“這些對(duì)等網(wǎng)絡(luò)，不知道這個(gè)問(wèn)題，接受了這些公告，并錯(cuò)誤地將單個(gè)客戶域的一小部分流量導(dǎo)向該域的惡意副本。”

安全專家Kevin Beaumont 指出，攻擊者資源充足，控制著目前在以太坊擁有近1600萬(wàn)美元的錢包。該事件還突出了核心互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中眾所周知的弱點(diǎn)。

“安裝這種規(guī)模的攻擊需要訪問(wèn)主要ISP和實(shí)際計(jì)算資源的BGP路由器來(lái)處理如此多的DNS流量。當(dāng)他們擁有這樣的訪問(wèn)級(jí)別時(shí)，似乎不太可能是MyEtherWallet，”他寫(xiě)道。

“BGP和DNS中的安全漏洞眾所周知，并且之前遭到了攻擊。這是我見(jiàn)過(guò)的最大規(guī)模的攻擊，它結(jié)合了兩者，它強(qiáng)調(diào)了互聯(lián)網(wǎng)安全的脆弱性。它還強(qiáng)調(diào)了在攻擊之前幾乎沒(méi)有人注意到有一個(gè)盲點(diǎn)。“