การไม่ใช้งาน 3 ชั่วโมงของ Amazon มีค่าใช้จ่ายเท่าใด นักลงทุน Crypto $235,000 – crypto.news

Amazon ใช้เวลามากกว่าสามชั่วโมงในการควบคุมที่อยู่ IP ที่ใช้เพื่อโฮสต์บริการบนคลาวด์อีกครั้งหลังจากที่สูญเสียการควบคุมไปอย่างกะทันหัน ผลการวิจัย แสดงให้เห็นว่าเนื่องจากข้อบกพร่องนี้ แฮ็กเกอร์สามารถขโมยเงินสกุล cryptocurrencies มูลค่า 235,000 ดอลลาร์จากลูกค้าของหนึ่งในลูกค้าที่ถูกบุกรุกได้

แฮกเกอร์ทำได้อย่างไร

โดยใช้เทคนิคที่เรียกว่า การจี้ BGPซึ่งใช้ประโยชน์จากข้อบกพร่องที่รู้จักกันดีในโปรโตคอลอินเทอร์เน็ตพื้นฐาน ผู้โจมตีเข้าควบคุมที่อยู่ IP ประมาณ 256 รายการ BGP ย่อมาจาก Border Gateway Protocol เป็นข้อกำหนดมาตรฐานที่เครือข่ายระบบอัตโนมัติ—องค์กรที่ควบคุมการรับส่งข้อมูล—ใช้เพื่อสื่อสารกับ ASN อื่น

เพื่อให้องค์กรติดตามว่าที่อยู่ IP ใดถูกต้องตามกฎหมาย ASN, BGP ยังคงใช้อินเทอร์เน็ตเป็นหลักเทียบเท่ากับการบอกปากต่อปาก แม้ว่าจะมีบทบาทสำคัญในการกำหนดเส้นทางข้อมูลปริมาณมหาศาลทั่วโลกแบบเรียลไทม์

แฮกเกอร์กลายเป็นเจ้าเล่ห์มากขึ้น

/24 บล็อกของที่อยู่ IP ที่เป็นของ AS16509 หนึ่งในอย่างน้อย 3 ASN ที่ดำเนินการโดย อเมซอนได้รับการประกาศอย่างกระทันหันเพื่อให้สามารถเข้าถึงได้ผ่านระบบอัตโนมัติ 209243 ซึ่งเป็นเจ้าของโดยผู้ให้บริการเครือข่าย Quickhost ในสหราชอาณาจักรในเดือนสิงหาคม

โฮสต์ที่อยู่ IP cbridge-prod2.celer.network ซึ่งเป็นโดเมนย่อยที่รับผิดชอบการจัดหาอินเทอร์เฟซผู้ใช้สัญญาอัจฉริยะที่สำคัญสำหรับการแลกเปลี่ยน crypto ของ Celer Bridge เป็นส่วนหนึ่งของบล็อกที่ถูกบุกรุกที่ 44.235.216.69

เนื่องจากพวกเขาสามารถแสดง GoGetSSL ผู้ออกใบรับรองลัตเวียว่าพวกเขาควบคุมโดเมนย่อย แฮกเกอร์จึงใช้การครอบครองเพื่อรับใบรับรอง TLS สำหรับ cbridge-prod2.celer.network ในวันที่ 17 สิงหาคม

เมื่อได้รับใบรับรองแล้ว ผู้กระทำความผิดก็ปรับใช้สัญญาอัจฉริยะของตนภายในโดเมนเดียวกันและคอยดูผู้เยี่ยมชมที่พยายามเข้าชมหน้า Celer Bridge ที่ถูกต้องตามกฎหมาย

สัญญาที่ฉ้อโกงได้ดูดเงิน $234,866.65 จาก 32 บัญชี ตามรายงานต่อไปนี้จากทีมข่าวกรองด้านภัยคุกคามของ Coinbase

ดูเหมือนว่า Amazon จะถูกกัดสองครั้ง

การโจมตี BGP บนที่อยู่ IP ของ Amazon ส่งผลให้เกิดการสูญเสีย bitcoin อย่างมาก เหตุการณ์ที่เหมือนกันซึ่งทำให้ไม่สงบโดยใช้ระบบ Route 53 ของ Amazon สำหรับบริการชื่อโดเมน เกิดขึ้นใน 2018. เงินดิจิตอลมูลค่าประมาณ $150,000 จาก MyEtherWallet บัญชีลูกค้า ถ้า แฮกเกอร์ เคยใช้ใบรับรอง TLS ที่เชื่อถือในเบราว์เซอร์แทนใบรับรองที่ลงนามเองซึ่งบังคับให้ผู้ใช้คลิกผ่านการแจ้งเตือน จำนวนเงินที่ถูกขโมยอาจมากกว่านั้น

หลังจากการจู่โจมปี 2018 Amazon เพิ่มคำนำหน้า IP มากกว่า 5,000 รายการ ไปยัง Route Origin Authorizations (ROA) ซึ่งเป็นบันทึกที่เปิดเผยซึ่งระบุ ASN ที่มีสิทธิ์เผยแพร่ที่อยู่ IP

การเปลี่ยนแปลงนี้ให้การรักษาความปลอดภัยจาก an RPKI (โครงสร้างพื้นฐานคีย์สาธารณะของทรัพยากร)ซึ่งใช้ใบรับรองอิเล็กทรอนิกส์เพื่อเชื่อมโยง ASN กับที่อยู่ IP ที่ถูกต้อง

การวิจัยนี้แสดงให้เห็นว่าแฮ็กเกอร์เมื่อเดือนที่แล้วได้แนะนำ AS16509 และเส้นทาง /24 ที่แม่นยำยิ่งขึ้นไปยัง AS-SET ที่จัดทำดัชนีใน ALTDB ซึ่งเป็นรีจิสทรีฟรีสำหรับระบบอิสระเพื่อเผยแพร่หลักการกำหนดเส้นทาง BGP ของตน เพื่อหลีกเลี่ยงการป้องกัน

ในการป้องกันของ Amazon มันอยู่ไกลจากผู้ให้บริการคลาวด์รายแรกที่สูญเสียการควบคุมหมายเลข IP เนื่องจากการโจมตี BGP เป็นเวลากว่าสองทศวรรษแล้วที่ BGP มีความอ่อนไหวต่อข้อผิดพลาดในการกำหนดค่าโดยประมาทและการฉ้อโกงที่โจ่งแจ้ง ในท้ายที่สุด ปัญหาด้านความปลอดภัยเป็นปัญหาทั่วทั้งภาคส่วนที่ไม่สามารถแก้ไขได้โดย Amazon แต่เพียงผู้เดียว