在突然失去控制後,亞馬遜花了三個多小時才重新控制了它用來託管基於雲的服務的 IP 地址。 發現 表明由於這個缺陷,黑客可以從其中一個受感染客戶的客戶那裡竊取 235,000 美元的加密貨幣。
黑客是如何做到的
通過使用一種稱為 BGP劫持,利用基礎互聯網協議中眾所周知的缺陷,攻擊者控制了大約 256 個 IP 地址。 BGP 是邊界網關協議的縮寫,是自治系統網絡(指導流量的組織)用於與其他 ASN 通信的標準規範。
讓企業跟踪哪些 IP 地址合法地遵守哪些 ASN, BGP 仍然主要依靠相當於口碑的互聯網,儘管它在實時路由全球海量數據方面發揮著關鍵作用。
黑客變得更加狡猾
屬於 AS24 的 /16509 塊 IP 地址,至少 3 個 ASN 之一由 Amazon,於 209243 月突然宣布可通過自治系統 XNUMX 訪問,該系統由英國網絡運營商 Quickhost 擁有。
IP 地址主機 cbridge-prod2.celer.network 是一個子域,負責為 Celer Bridge 加密交換提供關鍵的智能合約用戶界面,它是 44.235.216.69 受感染區塊的一部分。
由於他們可以向拉脫維亞證書頒發機構 GoGetSSL 證明他們控制了子域,因此黑客利用這次接管在 2 月 17 日為 cbridge-prodXNUMX.celer.network 獲取了 TLS 證書。
一旦獲得證書,犯罪者就會在同一個域中部署他們的智能合約,並監視試圖訪問合法 Celer Bridge 頁面的訪問者。
根據 Coinbase 威脅情報團隊的以下報告,欺詐性合同從 234,866.65 個賬戶中竊取了 32 美元。
亞馬遜似乎被咬了兩次
對亞馬遜 IP 地址的 BGP 攻擊導致大量比特幣損失。 使用亞馬遜的 Route 53 系統進行域名服務的令人不安的相同事件 發生在2018中. 價值約 150,000 美元的加密貨幣來自 MyEtherWallet 客戶帳戶。 如果 黑客 如果使用了瀏覽器信任的 TLS 證書,而不是強迫用戶點擊通知的自簽名證書,那麼被盜的數量可能會更大。
在 2018 年的襲擊之後,亞馬遜 添加了超過 5,000 個 IP 前綴 路由源授權 (ROA),它是公開可用的記錄,指定哪些 ASN 有權廣播 IP 地址。
這種變化提供了一些安全性 RPKI(資源公鑰基礎設施),它使用電子證書將 ASN 鏈接到其正確的 IP 地址。
這項研究表明,黑客上個月引入了 AS16509 和更精確的 /24 路由到 ALTDB 中索引的 AS-SET,這是自治系統發布其 BGP 路由原則的免費註冊表,以繞過防禦。
在亞馬遜的辯護中,它遠非第一個因 BGP 攻擊而失去對其 IP 號碼控制權的雲提供商。 二十多年來,BGP 一直容易受到粗心配置錯誤和公然欺詐的影響。 歸根結底,安全問題是一個全行業的問題,亞馬遜無法單獨解決。
資料來源:https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/