Злоумышленники смогли (https://doublepulsar.com/hijack-of-amazons-internet-domain-s... используя протокол BGP успешно перенаправить трафик DNS-сервиса Amazon Route 53 (https://aws.amazon.com/route53/) на свой хост и на несколько часов подменить сайт MyEtherWallet.com с реализацией web-кошелька для криптовалюты Ethereum. На подготовленном атакующими клоне сайта MyEtherWallet была огранизована фишинг-атака, которая позволила за два часа украсть (https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/offic... 215 ETH (около 137 тысяч долларов).
Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet (http://www.ee.net/index.php) (AS 10297) в Колумбусе (Огайо), который является upstream-провайдером Amazon. После анонса все пиры eNet стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к 5 подсетям /24 Amazon (около 1300 IP-адресов) в течение двух часов перенаправлялись на подконтрольный атакующим сервер, размещённый в датацентре провайдера Equinix (https://en.wikipedia.org/wiki/Equinix) в Чикаго, на котором была организована MiTM-атака по подмене ответов DNS.
Через подмену параметров DNS пользователи MyEtherWallet.com перенаправлялись на поддельный сайт, на котором использовался самоподписанный HTTPS-сертификат, для которого браузеры выдают предупреждение о проблемах с защищённым соединением, что не помешало в ходе грубого фишинга украсть около 137 тысяч долларов (в случае аутентификации на фишинговом сайте у пользователя списывались все средства с кошелька). Примечательно, что атакующие оказались очень состоятельными людьми - на ETH-кошельке, на который в ходе атаки перенаправлялись переводы, в настоящее время находится (https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94... 24276 ETH, что составляет более 15 млн долларов США.
Достоверно известно, что в ходе атаки была осуществлена подмена DNS для сайта MyEtherWallet.com, тем не менее могли пострадать и другие клиенты сервиса Amazon Route 53. По мнению некоторых исследователей безопасности, получение доступа к BGP-маршрутизатору крупного ISP и наличие ресурсов для обработки огромного DNS-трафика может свидетельствовать, что атака не ограничилась только MyEtherWallet (в пользу данной гипотезы также говорит непрекращающийся поток переводов на используемый в атаке ETH-колешёк). По другим предположениям, имел место лишь тестовый эксперимент перед проведением более массированных атак.
URL: https://arstechnica.com/information-technology/2018/04/suspi.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48494