The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

25.04.2018 13:06  Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP

Злоумышленники смогли используя протокол BGP успешно перенаправить трафик DNS-сервиса Amazon Route 53 на свой хост и на несколько часов подменить сайт MyEtherWallet.com с реализацией web-кошелька для криптовалюты Ethereum. На подготовленном атакующими клоне сайта MyEtherWallet была огранизована фишинг-атака, которая позволила за два часа украсть 215 ETH (около 137 тысяч долларов).

Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet (AS 10297) в Колумбусе (Огайо). После BGP-анонса все пиры eNet, среди которых такие крупнейшие операторы, как Level 3, Hurricane Electric, Cogent и NTT, стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к 5 подсетям /24 Amazon (около 1300 IP-адресов) в течение двух часов перенаправлялись на подконтрольный атакующим сервер, размещённый в датацентре провайдера Equinix в Чикаго, на котором была организована MiTM-атака по подмене ответов DNS.

Через подмену параметров DNS пользователи MyEtherWallet.com перенаправлялись на поддельный сайт, на котором использовался самоподписанный HTTPS-сертификат, для которого браузеры выдают предупреждение о проблемах с защищённым соединением, что не помешало в ходе грубого фишинга украсть около 137 тысяч долларов (в случае аутентификации на фишинговом сайте у пользователя списывались все средства с кошелька). Примечательно, что атакующие оказались очень состоятельными людьми - на ETH-кошельке, на который в ходе атаки перенаправлялись переводы, в настоящее время находится 24276 ETH, что составляет более 15 млн долларов США.

Достоверно известно, что в ходе атаки была осуществлена подмена DNS для сайта MyEtherWallet.com, тем не менее могли пострадать и другие клиенты сервиса Amazon Route 53. По мнению некоторых исследователей безопасности, получение доступа к BGP-маршрутизатору крупного ISP и наличие ресурсов для обработки огромного DNS-трафика может свидетельствовать, что атака не ограничилась только MyEtherWallet (в пользу данной гипотезы также говорит непрекращающийся поток переводов на используемый в атаке ETH-колешёк). По другим предположениям, имел место лишь тестовый эксперимент перед проведением более массированных атак.

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: BGPsec получил статус предложенного стандарта
  3. OpenNews: Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP
  4. OpenNews: Выявлена техника MITM-атак, основанная на подстановке фиктивных BGP-маршрутов
  5. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
  6. OpenNews: Представлен инструмент для проведения атак "DNS rebinding"
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bgp, etherium, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, An, 14:28, 25/04/2018 [ответить] [смотреть все]    [к модератору]
  • +12 +/
    Дожили.
    Особенно интересно это "...использовался самоподписанный HTTPS-сертификат,...что не помешало в ходе грубого фишинга украсть..."
     
     
  • 2.5, IB, 14:44, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    См следующий вопрос Весьма вероятен или подкуп сотрудника или взлом его компьют... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, нах, 15:23, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    если у тебя есть 24276 ETH - тебе не надо ничего взламывать Мне 5000, и пока ме... весь текст скрыт [показать]
     
     
  • 4.19, Аноним, 15:44, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    ойли, циска аср9000, чтoле сложная, бгп чтoле сложная, или вариаций железа много... весь текст скрыт [показать]
     
     
  • 5.35, нах, 18:16, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    тебя ждут не дождутся в Билайне Говорят - десятого уже собеседуем, а ни кар, ни... весь текст скрыт [показать]
     
     
  • 6.61, a, 23:59, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну так скачай посмотри Тебя от собственной важности прет, или у вас бгп на дсл-... весь текст скрыт [показать]
     
     
  • 7.80, нах, 11:15, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    ну так что же ты где, кстати, скачать А то я свои не могу показывать, а иногд... весь текст скрыт [показать]
     
     
  • 8.88, Аноним, 14:04, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Да, да, давай расскажи как ты там фотонные коммутаторы в детском саду настраивал... весь текст скрыт [показать]
     
     
  • 9.89, Аноним, 14:11, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    кстате о билайне, чувак оттуда на мое место приходил устраивался, там видимо сов... весь текст скрыт [показать]
     
     
  • 10.90, нах, 14:54, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    повторяю для непонятливых если чувак назвал тебе в качестве места работы сам Би... весь текст скрыт [показать]
     
  • 10.95, Аноним, 04:06, 27/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    И правильно, а то станешь таким как нах ... весь текст скрыт [показать]
     
  • 6.69, sergey, 07:55, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да ну нафиг этот пчелайн, лет несколько назад 4-5 для оптимизации бизнес проце... весь текст скрыт [показать]
     
     
  • 7.79, нах, 11:06, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    чувак, ты отстал от жизни - они уволили _всех_ оптимизировать начали еще в 20... весь текст скрыт [показать]
     
  • 4.46, аноним 12, 19:34, 25/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    Капец ты продажный.
     
     
  • 5.78, нах, 10:58, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    то есть, тебе 5000 предлагать бесполезно, ты хочешь сразу все 24 - ... весь текст скрыт [показать]
     
  • 2.57, Аноним, 21:49, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    > Дожили.

    ничего нового.

     
  • 1.3, meequz, 14:37, 25/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Интересно, как они получили доступ к BGP-маршрутизатору. И насколько беспалевно.
     
     
  • 2.16, нах, 15:25, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    легко Совершенно беспалевно - за эти-то бабки Там, наверное, уже от всего отде... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 15:36, 25/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    $137к? как-то так себе
     
     
  • 4.20, fi, 15:52, 25/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    24276 ETH, что составляет более 15 млн долларов США.
     
     
  • 5.62, Ordu, 00:22, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Это у них в кошельке 24276, а увели они всего на $137k.
     
     
  • 6.87, нах, 13:59, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ага, а остальные 24 тыщи, конечно ж, сами намайнили Это они спалились на 137k ... весь текст скрыт [показать]
     
     
  • 7.94, Аноним, 03:39, 27/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Fort Knox пойдет Американская фемида любит учитывать все По совокупности та... весь текст скрыт [показать]
     
     
  • 8.97, Аноним_, 11:32, 27/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ну ты сравнил - создатель-то торговал вполне невиртуальными оружием и наркотикам... весь текст скрыт [показать]
     
  • 4.36, нах, 18:19, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    если они только этим ограничились, то да На одного индуса, и то впритык Но раз... весь текст скрыт [показать]
     
  • 2.70, sergey, 08:01, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Вполне себе без палева, как говорится лохов надо наказывать, особенно когда мыше... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.93, Аноним, 18:01, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Интересно и много админов на том дырявом железе BGP поднимает?
     
  • 1.7, Аноним, 14:53, 25/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +39 +/
    Если тебе браузер орет "невалидный сертификат", а ты заходишь значит крипта это не твое.
     
     
  • 2.64, Аноним, 01:12, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Если ты заходишь через браузер значит крипта это не твое.
     
  • 1.11, ыы, 15:06, 25/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Это просто праздник какой-то...
     
  • 1.21, Аноним, 16:01, 25/04/2018 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Заранее прежупреждаю, что я в этом не силён, потому и спрашиваю Теоретическа, а... весь текст скрыт [показать]
     
     
  • 2.22, Аноним, 16:03, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    *Теоретически
     
  • 2.33, dss, 18:04, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Дык зону свою подписывать надо.
     
     
  • 3.43, Аноним, 19:19, 25/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Разве? Если речь не о wildcard certificate.
     
     
  • 4.81, dss, 11:37, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    При чем тут сертификаты DNSSEC довольно неплохо защищает от самого DNS спуфинга... весь текст скрыт [показать]
     
     
  • 5.83, Аноним, 13:00, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А, понял вас Да, защищает Но проверяет ли его LE ... весь текст скрыт [показать]
     
  • 2.37, нах, 18:26, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    а зачем Если у тебя уже перехвачен dns или хост, LE с радостию великой выпустит... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Аноним, 19:37, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Цель атаки 8211 направить юзеров на фишинговый браузерный кошелёк На сервера... весь текст скрыт [показать]
     
     
  • 4.49, Аноним, 19:40, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Через анонс как раз это и делается Трафик _к_ MEW попадёт к атакующему, т к за... весь текст скрыт [показать]
     
  • 4.50, Аноним, 19:41, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    s общается с настоящим NS, а не зловредным общается с зловредным NS, а не настоя... весь текст скрыт [показать]
     
  • 4.96, Аноним, 04:13, 27/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Настоящий NS послал бы LE на настоящий сервер и злоумышленник вероятно получил б... весь текст скрыт [показать]
     
     
  • 5.101, Аноним, 17:52, 02/07/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да-да, я это и имел в виду Если зловредный анонс задевает крупнейших провайдеро... весь текст скрыт [показать]
     
     
  • 6.102, Аноним, 17:55, 02/07/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Кажется, тут помогло бы только следующее 1 HPKP HTTP Public Key Pinning 2 ... весь текст скрыт [показать]
     
  • 1.24, Аноним, 16:44, 25/04/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Интеррреееесно, а у этого самого eNet скомпрометированные роутеры не на джуниках... весь текст скрыт [показать]
     
     
  • 2.38, нах, 18:30, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    если у них принимаются bgp пакеты от кого попало, без фильтрации - пофиг, на чем... весь текст скрыт [показать] [показать ветку]
     
  • 1.25, Аноним, 16:49, 25/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    А всего-то надо было фильтровать BGP-анонсы…
     
     
  • 2.32, Адноним, 17:55, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    bgp hijacking

    RPKI & BGPsec

     
  • 1.26, Аноним, 17:00, 25/04/2018 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Ну хорошо, переправили трафик на MyEtherWallet com, а откуда они взяли сертифика... весь текст скрыт [показать]
     
     
  • 2.30, Аноним, 17:45, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Новость читайте внимательнее.
     
  • 1.27, Аноним, 17:07, 25/04/2018 [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Раз уж завернули на себя DNS, могли бы заодно получить letsencrypt сертификат по... весь текст скрыт [показать]
     
     
  • 2.28, Аноним, 17:12, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    точняк значит все-таки https - мусор, и никакой пупер-секурности не дает а так... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, Всем Анонимам Аноним, 17:22, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Просто policy не поставили правильно Если стоит, то тогда например Chrome вообщ... весь текст скрыт [показать]
     
     
  • 4.39, Аноним84701, 18:38, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    С помощью какой именно policy можно запретить хрому заходить на хайджекнутые сай... весь текст скрыт [показать]
     
     
  • 5.99, sage, 18:11, 10/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning
     
     
  • 6.100, Аноним84701, 20:28, 10/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Так в хроме его то ли выпилили то ли совсем скоро выпилят ;)
     
     
  • 7.103, Аноним, 17:56, 02/07/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Увы. Кстати, почему?
     
     
  • 8.104, Аноним84701, 20:33, 02/07/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Увы. Кстати, почему?

    https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/he9tr7p3rZ8/eNMwKPmUBAAJ
    Официально: сложен в обращении, мало кем используется.
    В качестве альтернативы предлагается Certificate Тransparency стандарт:
    > To defend against certificate misissuance, web developers should use the Expect-CT header

    то, что оный развивается гуглом, конечно же абсолютно случайное совпадение :)

     
  • 3.34, dss, 18:05, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    на то hpkp и придуман... весь текст скрыт [показать]
     
     
  • 4.45, Адноним, 19:26, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    hpkp не спасет отца русской демократии, ведь проблема во всех 3х местах - изнача... весь текст скрыт [показать]
     
  • 4.53, Аноним, 20:32, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ага, только во-первых, ни одним клиентом ACME он не поддерживается, а во-вторых... весь текст скрыт [показать]
     
     
  • 5.82, dss, 11:41, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    А зачем его должны поддерживать клиенты ACME ACME занимается получением сертифи... весь текст скрыт [показать]
     
  • 3.44, нах, 19:19, 25/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    > значит все-таки https - мусор, и никакой пупер-секурности не дает.

    ну как же не дает? Если бы не https - любой васян сосед по подъезду мог бы по дороге спереть твой кошелечек. А так - только хорошие парни, админы крупной сети.

     
  • 3.55, Аноним, 21:12, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Чтобы это был не мусор надо понимать различие сертификатов Как написали выше DV... весь текст скрыт [показать]
     
  • 2.31, Аноним, 17:46, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    См. мой вопрос в #21.
     
  • 2.40, Аноним, 18:42, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Они подменили MyEtherWallet com только для ограниченного числа интернет пользова... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, нах, 19:18, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    вам же сказали - этот оператор апстримит амазон Поверили все, может даже вклю... весь текст скрыт [показать]
     
  • 1.41, Адноним, 19:17, 25/04/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Let's Encrypt надули?
     
     
  • 2.54, Аноним, 20:34, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    > Let's Encrypt надули?

    Нет, лоханулись. В следующий раз обещали исправиться.

     
  • 1.48, YetAnotherOnanym, 19:38, 25/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    То есть, после того, как пакистанская чёрная дыра положила Ютьюб, никто никаких выводов для себя не сделал?
     
     
  • 2.51, Адноним, 19:43, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Ютуб не волнует что там с население Пакистана будет.
     
     
  • 3.56, ыы, 21:20, 25/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ютуб законопослушный Очень Как ему скажут дяди в погонах -так и сделает ... весь текст скрыт [показать]
     
     
  • 4.75, Аноним, 10:30, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Но гугл не выгнал телеграм со своих айпишников, пуши не отключил, из российского... весь текст скрыт [показать]
     
  • 1.58, Аноним, 22:42, 25/04/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    А если бы юзали let s encrypt, то сертификат был бы настоящий ... весь текст скрыт [показать]
     
     
  • 2.59, YetAnotherOnanym, 23:06, 25/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Да, в этом вся суть LE - исполни спуфинг один раз для их сервера, и можешь потом... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.76, нах, 10:55, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    в этом суть dv digital validation le просто во-первых выполняют ее наихудшим о... весь текст скрыт [показать]
     
  • 1.60, Dmitry77, 23:43, 25/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Вообще текущая архитектура http довольно уязвимая.
    По хорошему MEW должен распологаться в столь любимом криптовалютчиками IPFS.

    Вообще таким же успехом владельцы MEW могли сами подзарабработать свалив это на BGP

     
     
  • 2.73, Аноним, 09:17, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    MEW должен располагаться на компе пользователя, и подключаться к локальной ноде ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.84, Аноним, 13:03, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Только так всегда им и пользовался.
     
  • 3.86, Dmitry77, 13:52, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    это следствие  кривости интернета, который "держится благодаря милиции".
     
  • 1.63, vitalif, 00:43, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Это роскомнадзор наверное игрался!
     
  • 1.71, Аноним, 08:55, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Какие-то они странные. Амазон взломали, а валидный сертификат не сделали.
     
  • 1.74, Аноним, 09:41, 26/04/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    дык, как можно получить валид сертификат на домен не имея к нему доступ разве ... весь текст скрыт [показать]
     
     
  • 2.85, Аноним, 13:04, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Именно так. Выше аж две ветки обсуждения.
     
  • 1.91, Адноним, 16:11, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Разборные полетов https://nag.ru/articles/article/101232/istoriya-odnogo-bgp-hijack-ili-neobhodi
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor