黑客通过 BGP 劫持亚马逊AWS 256 个 IP:窃取了价值 168 万的加密货币

2022-09-27 17:20:09 浏览数 (1)

亚马逊AWS 对 IP 地址突然失去控制后,花了三个多小时才得以重新获得控制权。

调查结果表明,由于这个问题,黑客得以窃取了价值 235000 美元(168 万人民币)的加密货币。

黑客是如何得手的?

攻击者通过BGP劫持的攻击技术——该技术利用了底层互联网协议IP中众所周知的漏洞,从而控制了大约256个IP地址。

BGP是边界网关协议的缩写,这是一种标准规范,自治系统网络(ASN,引导流量传输的组织)使用它来与其他ASN进行通信。

为了让企业可以跟踪了解哪些IP地址按规定遵守哪些ASN,BGP仍然主要依赖互联网的“口头相传”机制,不过它在全球实时路由传输海量数据方面发挥着关键作用。

黑客变得更加狡猾

AS16509是亚马逊运营的至少三个ASN之一,属于AS16509的/24 IP地址块在8月份突然被宣布为可以通过自治系统209243来访问,这个自治系统归英国网络运营商Quickhost拥有。

IP地址主机bridge-prod2.celer.network是一个子域,负责为Celer Bridge加密货币交易所提供关键的智能合约用户界面,它是44.235.216.69受感染地址块的一部分。

由于黑客可以向拉脱维亚证书管理机构GoGetSSL证明自己控制了这个子域,因此他们利用这次接管,在8月17日为cbridge-prod2.celer.network获取了TLS证书。

一旦这伙黑客获得了证书,就在同一个域中部署了其智能合约,并监视访客试图访问正规的Celer Bridge页面的举动。

从Coinbase威胁情报团队的分析报告来看,欺诈性合约从32个账户窃取了234866.65美元。

亚马逊似乎被攻击过两次

针对亚马逊IP地址发动的BGP攻击之前就导致大量比特币损失。

2018年发生了一起令人不安的同样性质的事件,当时攻击者使用亚马逊的Route 53系统用于域名服务。来自MyEtherWallet客户账户的价值约150000美元的加密货币在那次事件中失窃。如果黑客使用浏览器信任的TLS证书,而不是强迫用户点击通知的自签名证书,那么失窃的金额说不定更大。

在2018年遭到攻击之后,亚马逊为路由起源授权(ROA)添加了5000多个IP前缀,这些是公开可用的记录,用于指定哪些ASN有权通告IP地址。

这个变化从RPKI(资源公钥基础设施)的角度提供了一定的安全性,RPKI使用电子证书将ASN与正确的IP地址联系起来。

这项研究表明,黑客上个月引入了AS16509和更精确的/24路由到ALTDB中索引的AS-SET,以绕过防御机制,ALTDB是自治系统发布其BGP路由原则的免费注册中心。

亚马逊坚称,自己绝不是第一家因BGP攻击而对其IP号码失去控制权的云提供商。二十多年来,BGP一直容易受到粗心的配置错误和公然欺诈的影响。

归根结底,安全问题是一个全行业的问题,光靠亚马逊一家公司无力解决。

0 人点赞