Russische Hacker fangen Amazon DNS ab und stehlen 160.000 US-Dollar an Kryptowährung

Wie Kryptowährung Cyberkriminalität antreibt Marcin Kleczynski, CEO von Malwarebytes, erklärt die wirtschaftlichen Treiber der Online-Kriminalität.
Erstellen Sie ein Dia-Deck, einen Pitch oder eine Präsentation? Hier sind die großen Imbissbuden:
  • Russische Hacker verwendeten BGP, um IP-Adressen des DNS-Dienstes Amazon Route 53 zu befehlen.
  • BGP wurde vor Jahrzehnten entwickelt, weitgehend bevor Überlegungen zur böswilligen Netzwerkaktivität beim Entwurf berücksichtigt wurden.

Zwischen 11:05 und 13:03 UTC am Dienstag, dem 24. April, hat ein BGP-Angriff den Datenverkehr für Amazon Route 53, die DNS-Dienstkomponente von Amazon Web Services (AWS), abgefangen. Laut der Internet Intelligence Group von Oracle (ehemals Dyn Research) stammte der Angriff von Hardware in einer von eNet (AS10297) in Columbus, OH, betriebenen Einrichtung, die bekannt gab, dass sie Datenverkehr für bestimmte IP-Adressen akzeptieren kann, von denen einige zu Route gehörten 53.

Mehr zur Cybersicherheit

  • Cybersicherheit im Jahr 2020: Acht erschreckende Vorhersagen
  • Die 10 wichtigsten Cyberangriffe des Jahrzehnts
  • So werden Sie ein Cybersicherheitsprofi: Ein Spickzettel
  • Berühmter Betrüger Frank Abagnale: Kriminalität ist heute 4.000 Mal einfacher

Von dort leiteten die Angreifer Anfragen nach der Ethereum-Kryptowährungsbrieftasche MyEtherWallet.com an einen Server in Russland weiter. Benutzern mit DNS-Resolvern, die die Routenansage von eNet falsch akzeptiert haben, wird beim Versuch, auf diese Website zuzugreifen, eine Sicherheitswarnung angezeigt.

Wenn sich ein Benutzer durchklickt, wird ihm ein Phishing-Website-Klon angezeigt, mit dem die Angreifer Brieftascheninformationen abrufen. Wenn ein Benutzer bereits angemeldet war, können die Angreifer das Cookie lesen, um ein Konto zu erstellen, ohne dass der Benutzer sein Konto eingibt Referenzen. Es scheint, dass die Hacker durch den Angriff 215 Äther gewonnen haben, was ungefähr 160.000 USD entspricht.

Aufgrund der Natur von BGP waren nicht alle Betroffenen betroffen. Von den eNet-Kollegen akzeptierte anscheinend nur Hurricane Electric die Ankündigung. CloudFlare stellte in einem Blogbeitrag fest, dass der neu eingeführte kostenlose DNS-Resolver-Dienst 1.1.1.1 die Route in "Chicago, Sydney, Melbourne, Perth, Brisbane, Cebu, Bangkok, Auckland, Maskat, Dschibuti und Manilla" teilweise akzeptierte. Wie CloudFlare feststellte, müssen Endbenutzer die Routen nicht akzeptieren. Alle diese Änderungen sind für den Benutzer effektiv transparent.

BGP wurde vor Jahrzehnten entwickelt, größtenteils bevor Überlegungen zur böswilligen Netzwerkaktivität bei der Entwicklung berücksichtigt wurden. Aus diesem Grund kann ein gut platzierter Angreifer mit ausreichendem Netzwerkzugriff ungültige Routen ankündigen, die jedoch möglicherweise kurzzeitig von DNS-Resolvern akzeptiert werden, bevor eine Diskrepanz festgestellt wird, wie dies hier der Fall war.

Die Möglichkeit, dies unsichtbar zu tun - nur eine Route für einige Stunden anzukündigen und zurückzuziehen - ist eine weitere Angriffsart, die in einem 2013 von Larry Seltzer für ZDNet herausgegebenen Editorial spekuliert wurde. Aufgrund der etwas vorübergehenden Natur des BGP-Routings gibt es keine zentrale Autorität für BGP-Routen.

Beunruhigenderweise scheint dies der dritte BGP-Entführungsangriff russischer Herkunft in den letzten 12 Monaten zu sein. Am 12. Dezember 2017 betrafen zwei Vorfälle, die jeweils drei Minuten dauerten, laut BGPmon insgesamt 80 Präfixe, die normalerweise von Google, Apple, Facebook, Microsoft, Twitch, NTT Communications und Riot Games angekündigt wurden. Die Routen wurden von AS39523 angekündigt, der anscheinend für einen "Wassiljew Iwan Iwanowitsch" konzipiert ist, ein Name, der verdächtig wie ein Pseudonym erscheint. Im April letzten Jahres kündigte Rostelcom (AS12389) zu Unrecht das Routing an, das den Verkehr zu großen Finanzinstituten entführte, obwohl BGPmon feststellt, dass dies auf "sehr sichtbare und groß angelegte Weise" durchgeführt wurde, was es zu auffällig macht, um nicht zufällig zu sein.

BGP wurde unter bestimmten Umständen auch von Regierungen missbraucht. Im Januar 2017 versuchte die iranische Regierung, ein Verbot von Pornografie durchzusetzen, indem sie ungültige Routen für Hunderte von Adressen ankündigte, wodurch die fraglichen Websites in verschiedenen Teilen der Welt für etwas mehr als einen Tag nicht verfügbar waren. Im Jahr 2013 arbeitete die unkreativ benannte italienische Firma "Hacking Team" mit der italienischen Regierung zusammen, um wieder Zugang zu einem Befehls- und Kontrollserver für ein Überwachungstool zu erhalten, das das Unternehmen verkauft.

Selbst wenn Sie wie geplant arbeiten, ist BGP problematisch. Ein Vorfall im Jahr 2014 verursachte Massenausfälle, als die BGP-Routing-Tabelle 512.000 Einträge überschritt. Vielen Routern, die zu diesem Zeitpunkt verwendet wurden, fehlte ausreichend Speicherplatz im spezialisierten Speicher (Tertiary Content Addressable Memory, TCAM), damit die IPv4-BGP-Routing-Tabelle diesen Betrag überschritt. Nach Ansicht von APNIC werden derzeit 716.667 IPv4-BGP-Routen verwendet.

Update: Ein AWS-Sprecher hat TechRepublic diese Erklärung zur Verfügung gestellt:

Weder AWS noch Amazon Route 53 wurden gehackt oder kompromittiert. Ein vorgelagerter Internetdienstanbieter (ISP) wurde von einem böswilligen Akteur kompromittiert, der diesen Anbieter dann verwendete, um eine Teilmenge der Route 53-IP-Adressen an andere Netzwerke weiterzuleiten, mit denen dieser ISP zusammenarbeitet. Diese Peered-Netzwerke, die sich dieses Problems nicht bewusst waren, akzeptierten diese Ankündigungen und leiteten einen kleinen Prozentsatz des Datenverkehrs für die Domain eines einzelnen Kunden fälschlicherweise an die böswillige Kopie dieser Domain.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2021 | mobilegn.com