forum.opennet.ru

Составление сообщения

Исходное сообщение

"Для атаки на MyEtherWallet использовался захват DNS-сервиса ..."
Отправлено opennews, 25-Апр-18 14:28

Злоумышленники смогли (https://doublepulsar.com/hijack-of-amazons-internet-domain-s... используя протокол BGP успешно перенаправить трафик DNS-сервиса Amazon Route 53 (https://aws.amazon.com/route53/) на свой хост и на несколько часов подменить сайт MyEtherWallet.com с реализацией web-кошелька для криптовалюты Ethereum. На подготовленном атакующими клоне сайта MyEtherWallet была огранизована фишинг-атака, которая позволила за два часа украсть (https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/offic... 215 ETH (около 137 тысяч долларов).

Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet (http://www.ee.net/index.php) (AS 10297) в Колумбусе (Огайо), который является upstream-провайдером Amazon. После анонса все пиры eNet стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к 5 подсетям /24 Amazon (около 1300 IP-адресов) в течение двух часов перенаправлялись на подконтрольный атакующим сервер, размещённый в датацентре провайдера Equinix (https://en.wikipedia.org/wiki/Equinix) в Чикаго, на котором была организована MiTM-атака по подмене ответов DNS.

Через подмену параметров DNS пользователи MyEtherWallet.com перенаправлялись на поддельный сайт, на котором использовался самоподписанный HTTPS-сертификат, для которого браузеры выдают предупреждение о проблемах с защищённым соединением, что не помешало в ходе грубого фишинга украсть около 137 тысяч долларов (в случае аутентификации на фишинговом сайте у пользователя списывались все средства с кошелька). Примечательно, что атакующие оказались очень состоятельными людьми - на ETH-кошельке, на который в ходе атаки перенаправлялись переводы, в настоящее время находится (https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94... 24276 ETH, что составляет более 15 млн долларов США.

Достоверно известно, что в ходе атаки была осуществлена подмена DNS для сайта MyEtherWallet.com, тем не менее могли пострадать и другие клиенты сервиса Amazon Route 53. По мнению некоторых исследователей безопасности, получение доступа к BGP-маршрутизатору крупного ISP и наличие ресурсов для обработки огромного DNS-трафика может свидетельствовать, что атака не ограничилась только MyEtherWallet (в пользу данной гипотезы также говорит непрекращающийся поток переводов на используемый в атаке ETH-колешёк). По другим предположениям, имел место лишь тестовый эксперимент перед проведением более массированных атак.
URL: https://arstechnica.com/information-technology/2018/04/suspi.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48494

Исходное сообщение
"Для атаки на MyEtherWallet использовался захват DNS-сервиса ..." Отправлено opennews, 25-Апр-18 14:28
Злоумышленники смогли (https://doublepulsar.com/hijack-of-amazons-internet-domain-s... используя протокол BGP успешно перенаправить трафик DNS-сервиса Amazon Route 53 (https://aws.amazon.com/route53/) на свой хост и на несколько часов подменить сайт MyEtherWallet.com с реализацией web-кошелька для криптовалюты Ethereum. На подготовленном атакующими клоне сайта MyEtherWallet была огранизована фишинг-атака, которая позволила за два часа украсть (https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/offic... 215 ETH (около 137 тысяч долларов). Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet (http://www.ee.net/index.php) (AS 10297) в Колумбусе (Огайо), который является upstream-провайдером Amazon. После анонса все пиры eNet стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к 5 подсетям /24 Amazon (около 1300 IP-адресов) в течение двух часов перенаправлялись на подконтрольный атакующим сервер, размещённый в датацентре провайдера Equinix (https://en.wikipedia.org/wiki/Equinix) в Чикаго, на котором была организована MiTM-атака по подмене ответов DNS. Через подмену параметров DNS пользователи MyEtherWallet.com перенаправлялись на поддельный сайт, на котором использовался самоподписанный HTTPS-сертификат, для которого браузеры выдают предупреждение о проблемах с защищённым соединением, что не помешало в ходе грубого фишинга украсть около 137 тысяч долларов (в случае аутентификации на фишинговом сайте у пользователя списывались все средства с кошелька). Примечательно, что атакующие оказались очень состоятельными людьми - на ETH-кошельке, на который в ходе атаки перенаправлялись переводы, в настоящее время находится (https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94... 24276 ETH, что составляет более 15 млн долларов США. Достоверно известно, что в ходе атаки была осуществлена подмена DNS для сайта MyEtherWallet.com, тем не менее могли пострадать и другие клиенты сервиса Amazon Route 53. По мнению некоторых исследователей безопасности, получение доступа к BGP-маршрутизатору крупного ISP и наличие ресурсов для обработки огромного DNS-трафика может свидетельствовать, что атака не ограничилась только MyEtherWallet (в пользу данной гипотезы также говорит непрекращающийся поток переводов на используемый в атаке ETH-колешёк). По другим предположениям, имел место лишь тестовый эксперимент перед проведением более массированных атак. URL: https://arstechnica.com/information-technology/2018/04/suspi.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=48494

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Злоумышленники смогли (https://doublepulsar.com/hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for-two-hours-unnoticed-3a6f0dda6a6f) 
> используя протокол BGP успешно перенаправить трафик DNS-сервиса Amazon Route 53 (https://aws.amazon.com/route53/) 
> на свой хост и на несколько часов подменить сайт MyEtherWallet.com с 
> реализацией web-кошелька для криптовалюты Ethereum. На подготовленном атакующими клоне 
> сайта MyEtherWallet  была огранизована фишинг-атака, которая позволила за два часа 
> украсть (https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/) 
> 215 ETH (около 137 тысяч долларов).

> Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера 
> eNet (http://www.ee.net/index.php) (AS 10297) в Колумбусе (Огайо), который является upstream-провайдером 
> Amazon. После анонса все пиры eNet стали заворачивать трафик к Amazon 
> Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы 
> к 5 подсетям /24  Amazon (около 1300 IP-адресов) в течение 
> двух часов перенаправлялись на подконтрольный атакующим сервер, размещённый в датацентре 
> провайдера Equinix (https://en.wikipedia.org/wiki/Equinix) в Чикаго, на котором была 
> организована MiTM-атака по подмене ответов DNS.

> Через подмену параметров DNS пользователи MyEtherWallet.com перенаправлялись на поддельный 
> сайт, на котором использовался самоподписанный HTTPS-сертификат, для которого браузеры 
> выдают предупреждение о проблемах с защищённым соединением, что не помешало в 
> ходе грубого фишинга украсть около 137 тысяч долларов (в случае аутентификации 
> на фишинговом сайте у пользователя списывались все средства с кошелька). Примечательно, 
> что атакующие оказались очень состоятельными людьми - на ETH-кошельке, на который 
> в ходе атаки перенаправлялись переводы, в настоящее время находится (https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94b620a583a39) 
> 24276 ETH, что составляет более 15 млн долларов США.

> Достоверно известно, что в ходе атаки была осуществлена подмена DNS для сайта 
> MyEtherWallet.com, тем не менее могли пострадать и другие клиенты сервиса Amazon 
> Route 53. По мнению некоторых исследователей безопасности, получение доступа к BGP-маршрутизатору 
> крупного ISP и наличие ресурсов для обработки огромного DNS-трафика может свидетельствовать, 
> что атака не ограничилась только MyEtherWallet (в пользу данной гипотезы также 
> говорит непрекращающийся поток переводов на используемый в атаке ETH-колешёк). По другим 
> предположениям, имел место лишь тестовый эксперимент перед проведением более массированных 
> атак.

> URL: https://arstechnica.com/information-technology/2018/04/suspicious-event-hijacks-amazon-traffic-for-2-hours-steals-cryptocurrency/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=48494

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру