The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

02.07.2018 11:17  Фишинг-атака на платёжную систему Trezor, вероятно проведённая с использованием BGP

Зафиксирована вторая атака на сервисы криптокошельков, вероятно проведённая с использованием BGP. На этот раз злоумышленникам удалось перенаправить на подставной сайт часть пользователей финансового сервиса Trezor, предоставляющего аппаратное устройство для локального хранения ключей от кошельков с различными криптовалютами и унифицированный интерфейс для работы с кошельками.

В ответ на попытки определения имени хоста wallet.trezor.io некоторым пользователям какое-то время выдавался IP-адрес клона сайта Trezor Wallet, на котором при попытке входа выводилось сообщение о повреждении данных в хранилище с предложением ввести последовательность для восстановления доступа к кошельку. В случае ввода кода, злоумышленники получали полный контроль за ключами к криптовалютам, размещённым в хранилище Trezor (wallet.trezor.io предоставляет web-интерфейс для доступа к подключенному к системе пользователя аппаратному хранилищу ключей).

Судя по опубликованной разработчиками Trezor информации, все признаки указывают на то, что как и при проведении апрельской атаки на MyEtherWallet, для организации фишинга использовалась подстановка фиктивного маршрута в BGP, благодаря которой удалось перенаправить трафик подсетей с DNS-серверами Trezor на подконтрольный атакующим сервер, на котором была организована MiTM-атака по подмене ответов DNS. Не исключается также применение целевых атак на DNS-серверы крупных провайдеров для организации выдачи ложного IP через отравление кэша DNS.

Атака была зафиксирована в выходные, после того как от пользователей стали поступать сообщения о применении некорректного SSL-сертификата на сайте wallet.trezor.io (атакующие использовали самоподписанный сертификат, для которого выдавалось предупреждение в браузере). Информации о размере нанесённого в ходе атаки ущерба пока нет, анализ инцидента ещё не завершён и окончательно метод подмены результатов обращения к DNS пока не ясен (наиболее вероятным называется подстановка маршрутов BGP, но никаких деталей и подтверждений от сервисов мониторинга BGP пока нет).



  1. Главная ссылка к новости (https://www.reddit.com/r/TREZO...)
  2. OpenNews: Зафиксирована попытка использования BGP для захвата трафика IP 1.1.1.1
  3. OpenNews: Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP
  4. OpenNews: BGPsec получил статус предложенного стандарта
  5. OpenNews: Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP
  6. OpenNews: Выявлена техника MITM-атак, основанная на подстановке фиктивных BGP-маршрутов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bgp, coin, bitcoin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 11:23, 02/07/2018 [ответить] [показать ветку] [···]     [к модератору]
  • +1 +/
    Объясните мне дубине как такое реализуется Если у меня есть свой IP пул, AS, и ... весь текст скрыт [показать]
     
     
  • 2.8, имя (?), 11:46, 02/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    да, что-то типа такого
    лучше почитай https://www.opennet.ru/opennews/art.shtml?num=48494
     
  • 2.11, Аноним (11), 11:58, 02/07/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Да, так Ещё может быть атака на BGP-сессию между маршрутизаторами По хорошему ... весь текст скрыт [показать]
     
     
  • 3.29, Аноним (29), 19:43, 02/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > А так же настраивать IPSEC между маршрутизаторами

    Ишь, чё захотел...

     
     
  • 4.38, админ локалхоста (?), 14:45, 04/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    он имел ввиду, наверное, control-plane трафик Так то ничего необычного, то же O... весь текст скрыт [показать]
     
  • 1.2, П (?), 11:24, 02/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Видимо не успели выдать валидный сертификат lets encrypt. и Тогда бы никто не заметил, о невалидном сайте.
     
     
  • 2.3, Аноним (-), 11:29, 02/07/2018 [^] [ответить]    [к модератору]  
  • –7 +/
    Два сертификата на одно доменное имя не выдают.
     
     
  • 3.5, Аноним (5), 11:30, 02/07/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Выдают, лично получал и с Let's Encrypt, и со StartSSL.
     
     
  • 4.6, Аноним (-), 11:39, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    На разные поддомены?
     
     
  • 5.12, Аноним (5), 12:26, 02/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    На один и тот же Сегодня я как раз собирался обновлять сертификаты Let s Encryp... весь текст скрыт [показать]
     
     
  • 6.18, Аноним (5), 15:13, 02/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Обновил, десять минут - полёт нормальный, браузеры признают оба сертификата (и старый, и новый)
     
     
  • 7.35, Аноним (5), 11:50, 03/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Почти сутки - полёт всё ещё нормальный, старый сертификат продолжает успешно приниматься браузерами.
     
     
  • 8.42, некропостер (?), 22:26, 31/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Браузер с дополнением Certificate Patrol https addons mozilla org firefox ad... весь текст скрыт [показать]
     
  • 5.16, Аноним (16), 14:07, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Нет, выдают и на те же самые.
     
  • 3.24, dep (?), 17:09, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Так а почему не можно два получить, в чем здесь нарушение?
     
  • 3.37, анон (?), 05:14, 04/07/2018 [^] [ответить]     [к модератору]  
  • +/
    с чего вдруг Цепочка доверия сертификатов не означает что кто-то должен контрол... весь текст скрыт [показать]
     
  • 2.4, Аноним (4), 11:30, 02/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    При подстановке BGP-маршрутов изменение охватывает только ограниченный сегмент с... весь текст скрыт [показать]
     
     
  • 3.9, Vitaliy Blats (?), 11:56, 02/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    И не нужно Достаточно DNS-сервера к которому обращается LE для резолвинга ... весь текст скрыт [показать]
     
  • 1.7, Аноним (-), 11:40, 02/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    На кого эта атака расчитана? На пользователей десятки?
     
     
  • 2.10, Vitaliy Blats (?), 11:57, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > На кого эта атака расчитана? На пользователей десятки?

    Да, к сожалению расчитывается всегда большинство. Линуксоидам с их 1.5% бояться как всегда нечего, эффект Неуловимого Джо в действии :)

     
  • 2.14, sabakka (?), 13:25, 02/07/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    пользователей пятёрочки.
     
  • 2.19, Crazy Alex (ok), 15:14, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Да уж... С самоподписанным-то сертификатом - забавно, да и только.

    Для тех, кто не в курсе:

    1) Trezor - это хардварный кошель для криптовалют, такими пользуются те, кто безопасностью парится всерьёз. Очень сомнительно, что такие товарищи поведутся на самоподписанный сертификат.

    2) То, что предлагалось сделать (" ввести последовательность для восстановления доступа к кошельку") - это адски форсмажорная штука, которая вообще не делается без десятикратных проверок. Даже без браузерной ругани подобное предложение вылилось бы в разбирательства "что произошло", а не в бездумный ввод кода.

    Как итог - это не атака, а какая-то странная пародия.

     
     
  • 3.34, mandala (ok), 07:41, 03/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Доверять ключи какому то железу, которое клепает чужой дядя? Ты в своем уме?

    А если серьезно: значительная часть пользователей приобрела эту хрень по совету/из-за рекламы, не более, и ни черта не шарят в технологиях. так что атака хоть и палевная, но не лишена смысла.

     
     
  • 4.36, Аноним (36), 14:22, 03/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Была даже история про их конкурентов - ledger. Там левые перекупы на ebay подменяли инструкции и предлагали проинициализировать девайс с их заранее сгенерированным сидом. И ничего, люди велись.
     
  • 1.13, Аноним (13), 13:01, 02/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ладно хоть не с BFG2000
     
     
  • 2.30, Аноне (?), 20:06, 02/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    9000
     
  • 1.17, xm (ok), 15:10, 02/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Бег по граблям. Но поддержку DANE внедрять по-прежнему никто в браузеры не планирует... Ok, чё.
     
     
  • 2.20, Crazy Alex (ok), 15:43, 02/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    В данном случае тупой запрет самоподписанных сертификатов принёс бы гораздо больше пользы - как, сосбтвенно, для всех случаев, не связанных с домашними сервачками или разработкой. Ну и планируемая letsencrypt проверка из нескольких точек при выдаче сертификата. При этом вообще никакие изменения в инфраструктуре не нужны.
     
     
  • 3.21, AnonPlus (?), 16:20, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Нереально, дофигаща людей, которые считают, что самоподписанные сертификаты это свобода, letsencrypt это коварный проект ZOG по прослушиванию трафика, а таблеточки, выписанные психиатром для их больной головушки пить не стоит.
     
     
  • 4.22, Ivan_83 (ok), 16:43, 02/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Если бы этот самый енкрипт хотя бы в европе был, а то как обычно всё в США.
    А StartSSL угробили.
    Если вас не смущает что все IT сервисы в США и что конкурентов из других локаций мочат - вероятно вы мало думаете о следствиях и последствиях, хотя бы в перспективе 5-10 лет.
     
     
  • 5.25, Crazy Alex (ok), 17:56, 02/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Один нюанс - к данному случаю это никакого отношения не имеет.

    А так - нет, не смущает. Для подпольщины есть Tor, i2p, retroshare и куча всего остального. Для дел же легальных и "простого потребителя" никаких проблем в этом нет.

    А, ну и ещё я не страдаю паранойей по поводу США.

     
     
  • 6.32, Ivan_83 (ok), 20:34, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Расскажи это крымчанам, которые внезапно остались вообще без всех сервисов пендостана.
    Речь не про отдельный сайт/сервис а про политический рычаг влияния, у нас шутят про отключение газа а они выключили инет.
     
     
  • 7.33, Аноним (-), 22:28, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Отвалились только зонды. Я за блокировку этих сервисов для всего мира, кроме США.
     
  • 3.23, arisu (ok), 16:52, 02/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    да и вообще адресную строку убрать — давно уже экспериментируют же. но как-то очень несмело. зачем эта вот ерунда с «куда хочешь — туда и ходишь»? очевидно же, что там везде мошенники сидят! неча шастать, ходи куда положено, а больше тебе никуда не надо.
     
     
  • 4.26, Crazy Alex (ok), 18:01, 02/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Это звучит не так иронично, как тебе кажется. Для "обычного пользователя" запросто можно убирать - у него один хрен всё с поисковика начинается. А на каждый "чистый" самоподписанный сайт хомяк нарвётся минимум на сотню малварных.
     
     
  • 5.27, arisu (ok), 18:10, 02/07/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    тут есть, правда, нюанс. сначала «защитим детей от порнографии», а потом роскомцензура. потому что запреты вместо обучения — они только так и работают.
     
     
  • 6.31, Аноним (31), 20:11, 02/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    учиться не модно
     
  • 5.39, Гентушник (ok), 16:55, 04/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >  у него один хрен всё с поисковика начинается

    Плюсую. Мильён раз видел как обычные пользователи заходят на почту набирая в яндекс/мейлсру-поиске слово "почта", на строку с адресом мало кто смотрит, а пользуются ей вообще единицы.

     
     
  • 6.40, arisu (ok), 17:03, 04/07/2018 [^] [ответить]    [к модератору]  
  • +/
    а ещё «обычный пользователь» не пишет на сишечке. поэтому сишечку надо разрешать ставить только после того, как ты глубоко в системе поменял 100500 флажков на «да, я согласен».

    самое забавное то, что когда это случится — ни перед одним whistleblower'ом никто даже не подумает хотя бы извиниться.

     
  • 3.28, xm (ok), 18:28, 02/07/2018 [^] [ответить]    [к модератору]  
  • +/
    В данном, возможно, бы и хватило.
    А про будущее надо подумать бы уже теперь (вчера).
     
  • 3.41, Аноним (41), 22:58, 05/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >тупой запрет самоподписанных сертификатов

    Это тоталитаризм

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor