Amazon tardó más de tres horas en recuperar el control de las direcciones IP que utiliza para alojar servicios basados en la nube después de que repentinamente perdiera el control. Hallazgos muestran que debido a esta falla, los piratas informáticos podrían robar USD 235,000 XNUMX en criptomonedas de los clientes de uno de los clientes comprometidos.
Cómo lo hicieron los hackers
Usando una técnica llamada secuestro BGP, que se aprovecha de fallas conocidas en un protocolo fundamental de Internet, los atacantes tomaron el control de unas 256 direcciones IP. BGP, abreviatura de Border Gateway Protocol, es una especificación estándar que las redes de sistemas autónomos (organizaciones que dirigen el tráfico) utilizan para comunicarse con otros ASN.
Para que las empresas realicen un seguimiento de qué direcciones IP se adhieren legítimamente a qué ASN, BGP todavía cuenta principalmente con el equivalente de Internet del boca a boca, aunque su papel fundamental en el enrutamiento de volúmenes masivos de datos en todo el mundo en tiempo real.
Los hackers se volvieron más astutos
Un bloque /24 de direcciones IP que pertenece a AS16509, uno de al menos 3 ASN ejecutados por Amazon, se anunció abruptamente que sería accesible a través del sistema autónomo 209243, que es propiedad del operador de red con sede en el Reino Unido Quickhost, en agosto.
El host de dirección IP cbridge-prod2.celer.network, un subdominio a cargo de proporcionar una interfaz de usuario de contrato inteligente crucial para el intercambio de cifrado Celer Bridge, fue parte del bloque comprometido en 44.235.216.69.
Dado que pudieron mostrarle a la autoridad de certificación letona GoGetSSL que controlaban el subdominio, los piratas informáticos utilizaron la adquisición para obtener un certificado TLS para cbridge-prod2.celer.network el 17 de agosto.
Una vez que obtuvieron el certificado, los perpetradores implementaron su contrato inteligente dentro del mismo dominio y observaron a los visitantes que intentaban visitar la página legítima de Celer Bridge.
El contrato fraudulento desvió USD 234,866.65 32 de XNUMX cuentas, según el siguiente informe del equipo de inteligencia de amenazas de Coinbase.
Parece que Amazon ha sido mordido dos veces
Un asalto BGP a una dirección IP de Amazon ha resultado en pérdidas sustanciales de bitcoin. Un incidente inquietantemente idéntico utilizando el sistema Route 53 de Amazon para el servicio de nombres de dominio ocurrido en 2018. Aproximadamente $ 150,000 en criptomonedas de MyEtherWallet cuentas de clientes. Si el los piratas informáticos hubiera usado un certificado TLS de confianza del navegador en lugar de uno autofirmado que obligaba a los usuarios a hacer clic en un aviso, la cantidad robada probablemente podría haber sido mayor.
Tras el asalto de 2018, Amazon agregó más de 5,000 prefijos de IP a las Autorizaciones de origen de ruta (ROA), que son registros disponibles abiertamente que especifican qué ASN tienen derecho a transmitir direcciones IP.
El cambio proporcionó cierta seguridad de un RPKI (Infraestructura de clave pública de recursos), que emplea certificados electrónicos para vincular ASN a sus direcciones IP correctas.
Esta investigación muestra que los piratas informáticos introdujeron el mes pasado AS16509 y la ruta /24 más precisa a un AS-SET indexado en ALTDB, un registro gratuito para que los sistemas autónomos publiquen sus principios de enrutamiento BGP, para sortear las defensas.
En defensa de Amazon, está lejos de ser el primer proveedor de nube que ha perdido el control de sus números de IP debido a un ataque BGP. Durante más de dos décadas, BGP ha sido susceptible a errores de configuración por descuido y fraude flagrante. En última instancia, el problema de la seguridad es un problema de todo el sector que Amazon no puede resolver exclusivamente.
Fuente: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/