24 日又传出加密货币的资安事件,有骇客透过劫持亚马逊的 DNS 盗取了近 150,000 美元的以太币。而这不仅是加密货币的问题,可能是足以威胁整个网络的隐忧,而亚马逊 AWS 已出面说明此事。
此事件引发相当多的关注,因为这暴露出了现行网络架构的弱点。当时认为骇客透过绑架亚马逊 DNS 服务器的部分功能长达两个小时,并且将 MyEtherWallet 的流量引导至假网站,并趁机盗取了上万美元的以太币,且据信,此盗窃账户已有近 2,700 万美元的价值,这是以目前一枚以太币大约 700 美元的市价来计算。
InfoSec 资安研究员 Kevin Beaumont 指出,此事件在于骇客将 AWS 的 Route53 DNS 流量重新定向到位于俄罗斯的服务器,并窃取了用户的隐私讯息。且此手法早被运用已久。例如在 2013 年,就有骇客透过俄罗斯的 ISP 路由劫持流量,受影响的公司包括 Visa、MasterCard、Apple 及微软等大企业。
BGP hijack this morning affected Amazon DNS. eNet (AS10297) of Columbus, OH announced the following more-specifics of Amazon routes from 11:05 to 13:03 UTC today: 205.251.192.0/24 205.251.193.0/24 205.251.195.0/24 205.251.197.0/24 205.251.199.0/24
— InternetIntelligence (@InternetIntel) 2018年4月24日
目前亚马逊 AWS 已发出声明澄清,AWS 服务及 Amazon Route 53 并没有真的被骇客入侵或盗用,而是上游 ISP 供应商遭到恶意攻击,并向其它与该 ISP 业者串连的网络发布了 Route 53 IP 位址的子集,继而将部分流量导向恶意网站。
这种针对边界网关协议(Border Gateway Protocol,BGP)的攻击,可说是现行互联网的软肋,但是需要相当复杂的技术及昂贵的设备,所以 MyEtherWallet 应该不会是唯一的目标,且实际盗取财富也不算太多,可能只是刚好偶然被发现而已。甲骨文的网络智库表示,这起事件并也非劫持了所有流量,大约 1,300 个 IP 位址。
这样的安全漏洞其实早就被发现,但如此大规模的攻击相当罕见,值得关注。因为这种手法并未取得真正的 SSL 认证,所以用户可以透过 SSL 连线的异常来即早发现问题,也是最简单的方法。所以 MyEtherWallet 发表声明指出,建议用户在此期间先切换至 Cloudflare DNS 服务器,并且注意有关 SSL 的弹出警告,确保 SSL 证书标明“MyEtherWallet Inc”,并将加密货币储存在硬件上。
LEO 资安公司的 DNS 专家暨首席技术长Andrew Hay表示,这个漏洞根植于 BGP 原本的设计中。一旦被劫持,大量的流量将被自动重新定向,且基于互联网的效率,且避免被中断的危机,这个过程是自动化的,不太可能改由手动处理。
- Suspicious event hijacks Amazon traffic for 2 hours, steals cryptocurrency
- Hijack of Amazon’s internet domain service used to reroute web traffic for two hours unnoticed
- Official statement regarding DNS spoofing of MyEtherWallet domain
- A $152,000 Cryptocurrency Theft Just Exploited A Huge ‘Blind Spot’ In Internet Security
(首图来源:shutterstock)
延伸阅读:
- 调查发现僵尸网络仍是持久的网络威胁
- Akamai 发布“互联网现状──安全报告:电信业者洞察报告”
- 透过电线偷取电脑资料,不连网也会中招
- 俄入侵路由器,英美:恐为未来网攻铺路
- 突破封锁,以太坊交易纪录传播中国高校 #MeToo 异议事件
