The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

25.04.2018 13:06  Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP

Злоумышленники смогли используя протокол BGP успешно перенаправить трафик DNS-сервиса Amazon Route 53 на свой хост и на несколько часов подменить сайт MyEtherWallet.com с реализацией web-кошелька для криптовалюты Ethereum. На подготовленном атакующими клоне сайта MyEtherWallet была огранизована фишинг-атака, которая позволила за два часа украсть 215 ETH (около 137 тысяч долларов).

Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet (AS 10297) в Колумбусе (Огайо). После BGP-анонса все пиры eNet, среди которых такие крупнейшие операторы, как Level 3, Hurricane Electric, Cogent и NTT, стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к 5 подсетям /24 Amazon (около 1300 IP-адресов) в течение двух часов перенаправлялись на подконтрольный атакующим сервер, размещённый в датацентре провайдера Equinix в Чикаго, на котором была организована MiTM-атака по подмене ответов DNS.

Через подмену параметров DNS пользователи MyEtherWallet.com перенаправлялись на поддельный сайт, на котором использовался самоподписанный HTTPS-сертификат, для которого браузеры выдают предупреждение о проблемах с защищённым соединением, что не помешало в ходе грубого фишинга украсть около 137 тысяч долларов (в случае аутентификации на фишинговом сайте у пользователя списывались все средства с кошелька). Примечательно, что атакующие оказались очень состоятельными людьми - на ETH-кошельке, на который в ходе атаки перенаправлялись переводы, в настоящее время находится 24276 ETH, что составляет более 15 млн долларов США.

Достоверно известно, что в ходе атаки была осуществлена подмена DNS для сайта MyEtherWallet.com, тем не менее могли пострадать и другие клиенты сервиса Amazon Route 53. По мнению некоторых исследователей безопасности, получение доступа к BGP-маршрутизатору крупного ISP и наличие ресурсов для обработки огромного DNS-трафика может свидетельствовать, что атака не ограничилась только MyEtherWallet (в пользу данной гипотезы также говорит непрекращающийся поток переводов на используемый в атаке ETH-колешёк). По другим предположениям, имел место лишь тестовый эксперимент перед проведением более массированных атак.

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: BGPsec получил статус предложенного стандарта
  3. OpenNews: Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP
  4. OpenNews: Выявлена техника MITM-атак, основанная на подстановке фиктивных BGP-маршрутов
  5. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
  6. OpenNews: Представлен инструмент для проведения атак "DNS rebinding"
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bgp, etherium, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, An (??), 14:28, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +12 +/
    Дожили.
    Особенно интересно это "...использовался самоподписанный HTTPS-сертификат,...что не помешало в ходе грубого фишинга украсть..."
     
     
  • 2.5, IB (?), 14:44, 25/04/2018 [^] [ответить]    [к модератору]
  • +/
    См следующий вопрос.
    Весьма вероятен или подкуп сотрудника или взлом его компьютера (с физическим доступом?).

    За пару лет куча случаев кражи SSH ключей/паролей с домашних компов админов.

     
     
  • 3.15, нах (?), 15:23, 25/04/2018 [^] [ответить]     [к модератору]
  • –5 +/
    если у тебя есть 24276 ETH - тебе не надо ничего взламывать Мне 5000, и пока ме... весь текст скрыт [показать]
     
     
  • 4.19, Аноним (-), 15:44, 25/04/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    ойли, циска аср9000, чтoле сложная, бгп чтoле сложная, или вариаций железа много... весь текст скрыт [показать]
     
     
  • 5.35, нах (?), 18:16, 25/04/2018 [^] [ответить]     [к модератору]  
  • –4 +/
    тебя ждут не дождутся в Билайне Говорят - десятого уже собеседуем, а ни кар, ни... весь текст скрыт [показать]
     
     
  • 6.61, a (??), 23:59, 25/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну так скачай посмотри Тебя от собственной важности прет, или у вас бгп на дсл-... весь текст скрыт [показать]
     
     
  • 7.80, нах (?), 11:15, 26/04/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    ну так что же ты где, кстати, скачать А то я свои не могу показывать, а иногд... весь текст скрыт [показать]
     
     
  • 8.88, Аноним (-), 14:04, 26/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > не то же самое. Такая фигня.

    Да, да, давай расскажи как ты там фотонные коммутаторы в детском саду настраивал.

     
     
  • 9.89, Аноним (-), 14:11, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    кстате о билайне, чувак оттуда на мое место приходил устраивался, там видимо совсем зп тяжкая, а я решил сменить вектор и свалить из долбозвонов эксплуататоров пока не деграднул.
     
     
  • 10.90, нах (?), 14:54, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    повторяю для непонятливых если чувак назвал тебе в качестве места работы сам Би... весь текст скрыт [показать]
     
  • 10.95, Аноним (-), 04:06, 27/04/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > долбозвонов эксплуататоров пока не деграднул.

    И правильно, а то станешь таким как нах.

     
  • 6.69, sergey (??), 07:55, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Да ну нафиг этот пчелайн, лет несколько назад 4-5 для оптимизации бизнес проце... весь текст скрыт [показать]
     
     
  • 7.79, нах (?), 11:06, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    чувак, ты отстал от жизни - они уволили _всех_ оптимизировать начали еще в 20... весь текст скрыт [показать]
     
  • 4.46, аноним 12 (?), 19:34, 25/04/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    Капец ты продажный.
     
     
  • 5.78, нах (?), 10:58, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > Капец ты продажный.

    то есть, тебе 5000 предлагать бесполезно, ты хочешь сразу все 24? ;-)

     
  • 2.57, Аноним (-), 21:49, 25/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Дожили.

    ничего нового.

     
     ....нить скрыта, показать (15)

  • 1.3, meequz (ok), 14:37, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Интересно, как они получили доступ к BGP-маршрутизатору. И насколько беспалевно.
     
     
  • 2.16, нах (?), 15:25, 25/04/2018 [^] [ответить]     [к модератору]  
  • +/
    легко Совершенно беспалевно - за эти-то бабки Там, наверное, уже от всего отде... весь текст скрыт [показать]
     
     
  • 3.17, Аноним (-), 15:36, 25/04/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    $137к? как-то так себе
     
     
  • 4.20, fi (ok), 15:52, 25/04/2018 [^] [ответить]    [к модератору]  
  • +/
    24276 ETH, что составляет более 15 млн долларов США.
     
     
  • 5.62, Ordu (ok), 00:22, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Это у них в кошельке 24276, а увели они всего на $137k.
     
     
  • 6.87, нах (?), 13:59, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    ага, а остальные 24 тыщи, конечно ж, сами намайнили Это они спалились на 137k ... весь текст скрыт [показать]
     
     
  • 7.94, Аноним (-), 03:39, 27/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Fort Knox пойдет Американская фемида любит учитывать все По совокупности та... весь текст скрыт [показать]
     
     
  • 8.97, Аноним_ (?), 11:32, 27/04/2018 [^] [ответить]     [к модератору]  
  • +/
    ну ты сравнил - создатель-то торговал вполне невиртуальными оружием и наркотикам... весь текст скрыт [показать]
     
  • 4.36, нах (?), 18:19, 25/04/2018 [^] [ответить]     [к модератору]  
  • +/
    если они только этим ограничились, то да На одного индуса, и то впритык Но раз... весь текст скрыт [показать]
     
  • 2.70, sergey (??), 08:01, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Вполне себе без палева, как говорится лохов надо наказывать, особенно когда мыше... весь текст скрыт [показать]
     
     
  • 3.93, Аноним (-), 18:01, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Интересно и много админов на том дырявом железе BGP поднимает?
     
     ....нить скрыта, показать (10)

  • 1.7, Аноним (-), 14:53, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +39 +/
    Если тебе браузер орет "невалидный сертификат", а ты заходишь значит крипта это не твое.
     
     
  • 2.64, Аноним (-), 01:12, 26/04/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Если ты заходишь через браузер значит крипта это не твое.
     
  • 1.11, ыы (?), 15:06, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Это просто праздник какой-то...
     
  • 1.21, Аноним (-), 16:01, 25/04/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Заранее прежупреждаю, что я в этом не силён, потому и спрашиваю Теоретическа, а... весь текст скрыт [показать]
     
     
  • 2.22, Аноним (-), 16:03, 25/04/2018 [^] [ответить]    [к модератору]  
  • +/
    *Теоретически
     
  • 2.33, dss (ok), 18:04, 25/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Дык зону свою подписывать надо.
     
     
  • 3.43, Аноним (-), 19:19, 25/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Разве? Если речь не о wildcard certificate.
     
     
  • 4.81, dss (ok), 11:37, 26/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    При чем тут сертификаты? DNSSEC довольно неплохо защищает от самого DNS спуфинга.
     
     
  • 5.83, Аноним (-), 13:00, 26/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > При чем тут сертификаты? DNSSEC довольно неплохо защищает от самого DNS спуфинга.

    А, понял вас.

    Да, защищает. Но проверяет ли его LE?

     
  • 2.37, нах (?), 18:26, 25/04/2018 [^] [ответить]     [к модератору]  
  • +/
    а зачем Если у тебя уже перехвачен dns или хост, LE с радостию великой выпустит... весь текст скрыт [показать]
     
     
  • 3.47, Аноним (-), 19:37, 25/04/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Цель атаки 8211 направить юзеров на фишинговый браузерный кошелёк На сервера... весь текст скрыт [показать]
     
     
  • 4.49, Аноним (-), 19:40, 25/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Через анонс как раз это и делается Трафик _к_ MEW попадёт к атакующему, т к за... весь текст скрыт [показать]
     
  • 4.50, Аноним (-), 19:41, 25/04/2018 [^] [ответить]    [к модератору]  
  • +/
    s/общается с настоящим NS, а не зловредным/общается с зловредным NS, а не настоящим/
     
  • 4.96, Аноним (-), 04:13, 27/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Настоящий NS послал бы LE на настоящий сервер и злоумышленник вероятно получил б... весь текст скрыт [показать]
     
     
  • 5.101, Аноним (101), 17:52, 02/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Да-да, я это и имел в виду Если зловредный анонс задевает крупнейших провайдеро... весь текст скрыт [показать]
     
     
  • 6.102, Аноним (101), 17:55, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Кажется, тут помогло бы только следующее:

    1) HPKP (HTTP Public Key Pinning);
    2) сайт, на котрый производится атака, должен использовать другой CA, которым не пользуется злоумышленник.

     
  • 1.24, Аноним (-), 16:44, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интеррреееесно, а у этого самого eNet скомпрометированные роутеры не на джуниках ли были? https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10848&actp=METADATA
     
     
  • 2.38, нах (?), 18:30, 25/04/2018 [^] [ответить]     [к модератору]  
  • +/
    если у них принимаются bgp пакеты от кого попало, без фильтрации - пофиг, на чем... весь текст скрыт [показать]
     
  • 1.25, Аноним (-), 16:49, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А всего-то надо было фильтровать BGP-анонсы…
     
     
  • 2.32, Адноним (?), 17:55, 25/04/2018 [^] [ответить]    [к модератору]  
  • +/
    bgp hijacking

    RPKI & BGPsec

     
  • 1.26, Аноним (-), 17:00, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Ну хорошо, переправили трафик на MyEtherWallet.com,
    а откуда они взяли сертификат для него? Или у MyEtherWallet.com нет https?
     
     
  • 2.30, Аноним (-), 17:45, 25/04/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Новость читайте внимательнее.
     
  • 1.27, Аноним (-), 17:07, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > самоподписанный HTTPS-сертификат

    Раз уж завернули на себя DNS, могли бы заодно получить letsencrypt сертификат по
    DNS проверке, например. Ленивые злоумышленники

     
     
  • 2.28, Аноним (-), 17:12, 25/04/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    точняк.
    значит все-таки https - мусор, и никакой пупер-секурности не дает. а так натягивают его, натягивают всем :)
     
     
  • 3.29, Всем Анонимам Аноним (?), 17:22, 25/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Просто policy не поставили правильно. Если стоит, то тогда например Chrome вообще не пускает никак.
     
     
  • 4.39, Аноним84701 (ok), 18:38, 25/04/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    С помощью какой именно policy можно запретить хрому заходить на хайджекнутые сай... весь текст скрыт [показать]
     
     
  • 5.99, sage (??), 18:11, 10/05/2018 [^] [ответить]    [к модератору]  
  • +/
    https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning
     
     
  • 6.100, Аноним84701 (ok), 20:28, 10/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Так в хроме его то ли выпилили то ли совсем скоро выпилят ;)
     
     
  • 7.103, Аноним (101), 17:56, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Увы. Кстати, почему?
     
     
  • 8.104, Аноним84701 (ok), 20:33, 02/07/2018 [^] [ответить]     [к модератору]  
  • +/
    https groups google com a chromium org forum msg blink-dev he9tr7p3rZ8 eNMwK... весь текст скрыт [показать]
     
  • 3.34, dss (ok), 18:05, 25/04/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > точняк.
    > значит все-таки https - мусор, и никакой пупер-секурности не дает. а так
    > натягивают его, натягивают всем :)

    на то hpkp и придуман

     
     
  • 4.45, Адноним (?), 19:26, 25/04/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    hpkp не спасет отца русской демократии, ведь проблема во всех 3х местах - изнача... весь текст скрыт [показать]
     
  • 4.53, Аноним (-), 20:32, 25/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > на то hpkp и придуман

    Ага, только? во-первых, ни одним клиентом ACME он не поддерживается, а во-вторых, гугл сказал, что HPKP не нужен, так что жить ему осталось всего ничего.

     
     
  • 5.82, dss (ok), 11:41, 26/04/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    А зачем его должны поддерживать клиенты ACME?
    ACME занимается получением сертификатов. А ротацией ключей ему не надо заниматься.
     
  • 3.44, нах (?), 19:19, 25/04/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    > значит все-таки https - мусор, и никакой пупер-секурности не дает.

    ну как же не дает? Если бы не https - любой васян сосед по подъезду мог бы по дороге спереть твой кошелечек. А так - только хорошие парни, админы крупной сети.

     
  • 3.55, Аноним (-), 21:12, 25/04/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Чтобы это был не мусор надо понимать различие сертификатов. Как написали выше DV сертификат тебе не гарантирует что сайт принадлежит этой организации.
     
  • 2.31, Аноним (-), 17:46, 25/04/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    См. мой вопрос в #21.
     
  • 2.40, Аноним (-), 18:42, 25/04/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Они подменили MyEtherWallet com только для ограниченного числа интернет пользова... весь текст скрыт [показать]
     
     
  • 3.42, нах (?), 19:18, 25/04/2018 [^] [ответить]     [к модератору]  
  • +/
    вам же сказали - этот оператор апстримит амазон Поверили все, может даже вклю... весь текст скрыт [показать]
     
  • 1.41, Адноним (?), 19:17, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Let's Encrypt надули?
     
     
  • 2.54, Аноним (-), 20:34, 25/04/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Let's Encrypt надули?

    Нет, лоханулись. В следующий раз обещали исправиться.

     
  • 1.48, YetAnotherOnanym (ok), 19:38, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    То есть, после того, как пакистанская чёрная дыра положила Ютьюб, никто никаких выводов для себя не сделал?
     
     
  • 2.51, Адноним (?), 19:43, 25/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Ютуб не волнует что там с население Пакистана будет.
     
     
  • 3.56, ыы (?), 21:20, 25/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ютуб не волнует что там с население Пакистана будет.

    Ютуб законопослушный. Очень. Как ему скажут дяди в погонах -так и сделает.

     
     
  • 4.75, Аноним (-), 10:30, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Но гугл не выгнал телеграм со своих айпишников, пуши не отключил, из российского маркета не удалил.
     
  • 1.58, Аноним (-), 22:42, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >на котором использовался самоподписанный HTTPS-сертификат

    А если бы юзали let's encrypt, то сертификат был бы настоящий.

     
     
  • 2.59, YetAnotherOnanym (ok), 23:06, 25/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Да, в этом вся суть LE - исполни спуфинг один раз для их сервера, и можешь потом исполнять его для всех остальных уже с валидным сертификатом, выданным столь любимым опенсорсниками УЦ.
     
     
  • 3.76, нах (?), 10:55, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    в этом суть dv digital validation le просто во-первых выполняют ее наихудшим о... весь текст скрыт [показать]
     
  • 1.60, Dmitry77 (ok), 23:43, 25/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вообще текущая архитектура http довольно уязвимая.
    По хорошему MEW должен распологаться в столь любимом криптовалютчиками IPFS.

    Вообще таким же успехом владельцы MEW могли сами подзарабработать свалив это на BGP

     
     
  • 2.73, Аноним (-), 09:17, 26/04/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    MEW должен располагаться на компе пользователя, и подключаться к локальной ноде.

    А если по-хорошему, то он вообще не нужен

     
     
  • 3.84, Аноним (-), 13:03, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Только так всегда им и пользовался.
     
  • 3.86, Dmitry77 (ok), 13:52, 26/04/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    это следствие  кривости интернета, который "держится благодаря милиции".
     
  • 1.63, vitalif (ok), 00:43, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Это роскомнадзор наверное игрался!
     
  • 1.71, Аноним (-), 08:55, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Какие-то они странные. Амазон взломали, а валидный сертификат не сделали.
     
  • 1.74, Аноним (-), 09:41, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    дык, как можно получить валид сертификат на домен не имея к нему доступ ?
    разве что на момент атаки сделать запрос в letsencrypt на получение, но на сколько такое возможно.
     
     
  • 2.85, Аноним (-), 13:04, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Именно так. Выше аж две ветки обсуждения.
     
  • 1.91, Адноним (?), 16:11, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Разборные полетов https://nag.ru/articles/article/101232/istoriya-odnogo-bgp-hijack-ili-neobhodi
     
     
  • 2.92, Адноним (?), 16:19, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor