آمازون پس از اینکه ناگهان کنترل خود را از دست داد، بیش از سه ساعت طول کشید تا دوباره کنترل آدرس های IP را که برای میزبانی سرویس های مبتنی بر ابر استفاده می کند، به دست آورد. یافته ها نشان می دهد که به دلیل این نقص، هکرها می توانند 235,000 دلار ارزهای دیجیتال را از مشتریان یکی از مشتریان در معرض خطر سرقت کنند.
چگونه هکرها این کار را انجام دادند
با استفاده از تکنیکی به نام ربودن BGPکه از نقص های شناخته شده در یک پروتکل اساسی اینترنت بهره می برد، مهاجمان کنترل حدود 256 آدرس IP را به دست گرفتند. BGP، مخفف Border Gateway Protocol، یک مشخصات استاندارد است که شبکههای سیستم مستقل - سازمانهایی که ترافیک را هدایت میکنند - برای برقراری ارتباط با سایر ASNها استفاده میکنند.
برای شرکتها برای پیگیری اینکه کدام آدرس IP به طور قانونی به کدام پایبند است ASN ها، BGP هنوز عمدتاً بر روی معادل اینترنت دهان به دهان حساب می کند، اگرچه نقش مهم آن در مسیریابی حجم عظیمی از داده ها در سراسر جهان به صورت بلادرنگ.
هکرها زیرک تر شدند
یک بلوک /24 از آدرسهای IP متعلق به AS16509، یکی از حداقل 3 ASN که توسط آمازون، در ماه آگوست به طور ناگهانی اعلام شد که از طریق سیستم خودمختار 209243 که متعلق به اپراتور شبکه مستقر در بریتانیا Quickhost است قابل دسترسی است.
میزبان آدرس IP cbridge-prod2.celer.network، یک زیر دامنه که مسئول ارائه یک رابط کاربری قرارداد هوشمند مهم برای مبادله رمزنگاری Celer Bridge است، بخشی از بلوک در معرض خطر در 44.235.216.69 بود.
از آنجایی که آنها میتوانستند به مرجع گواهینامه لتونی GoGetSSL نشان دهند که آنها زیر دامنه را کنترل میکنند، هکرها از این تصاحب برای دریافت گواهی TLS برای cbridge-prod2.celer.network در 17 اوت استفاده کردند.
پس از دریافت گواهی، مجرمان قرارداد هوشمند خود را در همان دامنه مستقر کردند و بازدیدکنندگانی را که سعی در بازدید از صفحه قانونی Celer Bridge داشتند، تماشا کردند.
بر اساس گزارش زیر از تیم اطلاعاتی تهدیدات Coinbase، این قرارداد تقلبی 234,866.65 دلار از 32 حساب استخراج کرد.
به نظر می رسد آمازون دو بار گاز گرفته شده است
حمله BGP به آدرس IP آمازون منجر به از دست دادن قابل توجه بیت کوین شده است. یک حادثه نگران کننده یکسان با استفاده از سیستم Route 53 آمازون برای خدمات نام دامنه در 2018 رخ داده است. ارز دیجیتال به ارزش تقریبی 150,000 دلار از MyEtherWallet حساب های مشتری اگر هکرها از یک گواهی TLS قابل اعتماد مرورگر به جای گواهی امضا شده استفاده کرده بود که کاربران را وادار می کرد تا روی یک اعلان کلیک کنند، احتمالاً مقدار سرقت شده بیشتر بوده است.
پس از حمله 2018، آمازون بیش از 5,000 پیشوند IP اضافه شده است به مجوزهای مبدأ مسیر (ROA)، که سوابق آشکارا در دسترس هستند که مشخص میکنند کدام ASN حق پخش آدرسهای IP را دارند.
این تغییر تا حدی امنیت را از a RPKI (زیرساخت کلید عمومی منبع)، که از گواهی نامه های الکترونیکی برای پیوند ASN به آدرس های IP صحیح خود استفاده می کند.
این تحقیق نشان میدهد که هکرها ماه گذشته AS16509 و مسیر دقیقتر /24 را به یک AS-SET نمایهشده در ALTDB، یک رجیستری رایگان برای سیستمهای مستقل برای انتشار اصول مسیریابی BGP خود، برای دور زدن موارد دفاعی، معرفی کردند.
در دفاع از آمازون، این اولین ارائه دهنده ابری است که کنترل شماره IP خود را به دلیل حمله BGP از دست داده است. برای بیش از دو دهه، BGP مستعد خطاهای پیکربندی بی دقت و تقلب آشکار بوده است. در نهایت، مسئله امنیتی یک مسئله در سطح بخش است که نمی تواند به طور انحصاری توسط آمازون حل شود.
منبع: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/