استغرق Amazon أكثر من ثلاث ساعات لاستعادة السيطرة على عناوين IP التي تستخدمها لاستضافة الخدمات المستندة إلى السحابة بعد أن فقدت السيطرة فجأة. النتائج أظهر أنه بسبب هذا الخلل ، يمكن للمتسللين سرقة 235,000 ألف دولار من العملات المشفرة من عملاء أحد العملاء المعرضين للخطر.
كيف فعلها الهاكرز
باستخدام تقنية تسمى اختطاف BGP، التي تستفيد من العيوب المعروفة في بروتوكول الإنترنت الأساسي ، سيطر المهاجمون على حوالي 256 عنوان IP. BGP ، اختصار لـ Border Gateway Protocol ، هو معيار قياسي تستخدمه شبكات النظام الذاتي - المنظمات التي توجه حركة المرور - للتواصل مع شبكات ASN الأخرى.
بالنسبة للمؤسسات لتتبع عناوين IP التي تلتزم بها بشكل شرعي ASNs ، لا يزال BGP يعتمد في المقام الأول على الإنترنت المعادل للكلمات الشفهية ، على الرغم من دوره الحاسم في توجيه كميات هائلة من البيانات في جميع أنحاء العالم على أساس الوقت الحقيقي.
أصبح الهاكرز أكثر ماكرة
كتلة A / 24 من عناوين IP التي تنتمي إلى AS16509 ، واحدة من 3 ASNs على الأقل يتم تشغيلها بواسطة أمازون، تم الإعلان فجأة عن إمكانية الوصول إليها من خلال النظام المستقل 209243 ، المملوك لمشغل الشبكة Quickhost ومقره المملكة المتحدة ، في أغسطس.
كان مضيف عنوان IP cbridge-prod2.celer.network ، وهو مجال فرعي مسؤول عن توفير واجهة مستخدم عقد ذكية حاسمة لتبادل تشفير Celer Bridge ، جزءًا من الكتلة المخترقة في 44.235.216.69.
نظرًا لأنهم تمكنوا من إظهار سلطة الشهادات في لاتفيا GoGetSSL أنهم يتحكمون في النطاق الفرعي ، فقد استخدم المتسللون عملية الاستحواذ للحصول على شهادة TLS لـ cbridge-prod2.celer.network في 17 أغسطس.
بمجرد حصولهم على الشهادة ، نشر الجناة عقدهم الذكي في نفس المجال وراقبوا الزائرين الذين يحاولون زيارة صفحة Celer Bridge الشرعية.
استحوذ العقد الاحتيالي على 234,866.65،32 دولارًا أمريكيًا من XNUMX حسابًا ، بناءً على التقرير التالي من فريق استخبارات التهديدات في Coinbase.
يبدو أن أمازون تعرضت للعض مرتين
أدى اعتداء BGP على عنوان IP الخاص بـ Amazon إلى خسائر كبيرة في عملات البيتكوين. حادثة متطابقة بشكل مقلق باستخدام نظام Amazon's Route 53 لخدمة أسماء النطاقات حدث في 2018. ما يقرب من 150,000،XNUMX دولار من العملات المشفرة من MyEtherWallet حسابات العملاء. إذا كان قراصنة استخدم شهادة TLS موثوقة بالمتصفح بدلاً من شهادة موقعة ذاتيًا تجبر المستخدمين على النقر فوق إشعار ، ربما كان المبلغ المسروق أكبر.
بعد هجوم 2018 ، أمازون تمت إضافة أكثر من 5,000 بادئة IP إلى تصاريح أصل المسار (ROAs) ، وهي سجلات متاحة بشكل مفتوح تحدد ASNs التي لها الحق في بث عناوين IP.
قدم التغيير بعض الأمان من RPKI (البنية التحتية للمفتاح العام للمورد)، الذي يستخدم الشهادات الإلكترونية لربط ASN بعناوين IP الصحيحة الخاصة بهم.
يُظهر هذا البحث أن المتسللين قدموا الشهر الماضي AS16509 والطريق الأكثر دقة / 24 إلى AS-SET المفهرس في ALTDB ، وهو سجل مجاني للأنظمة المستقلة لنشر مبادئ توجيه BGP الخاصة بهم ، للالتفاف على الدفاعات.
في دفاع أمازون ، فهي بعيدة كل البعد عن المزود السحابي الأول الذي فقد السيطرة على أرقام IP الخاصة به بسبب هجوم BGP. لأكثر من عقدين من الزمان ، كانت BGP عرضة لأخطاء التكوين المتهورة والاحتيال الصارخ. في النهاية ، تعد مشكلة الأمان مشكلة على مستوى القطاع لا يمكن حلها بواسطة Amazon حصريًا.
المصدر: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/