A Amazon levou mais de três horas para recuperar o controle dos endereços IP que utiliza para hospedar serviços baseados em nuvem depois que perdeu o controle de repente. Descobertas mostram que, por causa dessa falha, os hackers podem roubar US$ 235,000 em criptomoedas de clientes de um dos clientes comprometidos.
Como os hackers fizeram
Usando uma técnica chamada Sequestro de BGP, que tira proveito de falhas conhecidas em um protocolo fundamental da Internet, os invasores assumiram o controle de cerca de 256 endereços IP. BGP, abreviação de Border Gateway Protocol, é uma especificação padrão que redes de sistemas autônomos – organizações que direcionam o tráfego – usam para se comunicar com outros ASNs.
Para as empresas acompanharem quais endereços IP aderem legitimamente a quais ASN, O BGP ainda conta principalmente com o equivalente da Internet ao boca-a-boca, embora seu papel crítico no roteamento de grandes volumes de dados em todo o mundo em tempo real.
Os hackers se tornaram mais astutos
Um bloco /24 de endereços IP que pertence a AS16509, um de pelo menos 3 ASNs executados por Amazon, foi anunciado abruptamente para ser acessível através do sistema autônomo 209243, de propriedade da operadora de rede Quickhost, com sede no Reino Unido, em agosto.
O host de endereço IP cbridge-prod2.celer.network, um subdomínio responsável por fornecer uma interface de usuário de contrato inteligente crucial para a troca de criptografia Celer Bridge, fazia parte do bloco comprometido em 44.235.216.69.
Como eles poderiam mostrar à autoridade de certificação letã GoGetSSL que controlavam o subdomínio, os hackers utilizaram a aquisição para obter um certificado TLS para cbridge-prod2.celer.network em 17 de agosto.
Depois de obter o certificado, os criminosos implantaram seu contrato inteligente no mesmo domínio e observaram os visitantes que tentavam visitar a página legítima do Celer Bridge.
O contrato fraudulento desviou US$ 234,866.65 de 32 contas, com base no seguinte relatório da equipe de inteligência de ameaças da Coinbase.
Parece que a Amazon foi mordida duas vezes
Um ataque BGP em um endereço IP da Amazon resultou em perdas substanciais de bitcoin. Um incidente perturbadoramente idêntico usando o sistema Route 53 da Amazon para serviço de nomes de domínio ocorreu em 2018. Aproximadamente US$ 150,000 em criptomoedas de MyEtherWallet contas de clientes. Se o hackers tivesse usado um certificado TLS confiável do navegador em vez de um autoassinado que obrigava os usuários a clicar em um aviso, a quantia roubada provavelmente poderia ter sido maior.
Após o ataque de 2018, a Amazon adicionados mais de 5,000 prefixos IP às Autorizações de Origem de Rota (ROAs), que são registros disponíveis abertamente que especificam quais ASNs têm o direito de transmitir endereços IP.
A mudança forneceu alguma segurança de um RPKI (Infraestrutura de Chave Pública de Recursos), que emprega certificados eletrônicos para vincular o ASN aos seus endereços IP corretos.
Esta pesquisa mostra que os hackers introduziram no mês passado o AS16509 e a rota /24 mais precisa para um AS-SET indexado no ALTDB, um registro gratuito para sistemas autônomos publicarem seus princípios de roteamento BGP, para contornar as defesas.
Em defesa da Amazon, está longe de ser o primeiro provedor de nuvem que perdeu o controle de seus números de IP devido a um ataque BGP. Por mais de duas décadas, o BGP tem sido suscetível a erros de configuração descuidados e fraudes flagrantes. Em última análise, o problema de segurança é um problema de todo o setor que não pode ser resolvido exclusivamente pela Amazon.
Fonte: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/