您现在的位置是:首页 > 科技 > 正文

AWS流量劫持用户以两小时加密货币抢劫发送到网络钓鱼站

发布时间:2024-06-18 19:27:22来源:

导读 周二,攻击者利用核心互联网基础设施中的扭结引发了复杂的攻击,导致以太坊钱包开发者网站的用户被重定向到网络钓鱼网站。 MyEtherWalle

周二,攻击者利用核心互联网基础设施中的扭结引发了复杂的攻击,导致以太坊钱包开发者网站的用户被重定向到网络钓鱼网站。

MyEtherWallet的用户在没有注意到HTTPS浏览器警告他们被引导到的网站使用的是自签名数字证书后,向攻击者损失了大约150,000美元。

MyEtherWallet开发人员在Reddit的一份声明中表示,许多域名系统(DNS)服务器在UTC时间中午12点被劫持,将用户指向一个托管在俄罗斯IP地址上的网络钓鱼站点。重定向发生了大约两个小时。

登录其帐户的任何人都会泄露其凭据。此外,已登录的浏览器将通过浏览器cookie传输登录信息。这两种结果都使攻击者有机会登录真实网站并窃取以太坊。

Cloudflare将此事件描述为BGP或边界网关协议“泄漏”,允许攻击者错误地宣布由Amazon的Route 53托管DNS服务(MyEtherWallet.com使用)拥有的协议(IP)空间。

BGP维护一个可用IP网络表,并找到最有效的互联网流量路由。ISP向其所在的其他网络公布IP地址。

在攻击期间,总部位于俄亥俄州的IP服务提供商eNet Inc错误地向其同行宣布部分AWS的IP空间,并将其转发给互联网骨干网提供商Hurricane Electric,后者又影响了Cloudflare的DNS目录解析器。

“在两个小时的泄漏期间,IP范围内的服务器仅响应对MyEtherWallet的查询,”Cloudflare工程师Louis Poinsignon解释道。

“任何被请求由Route53处理的名称的DNS解析器都会询问已经通过BGP泄漏接管的权威服务器。这个中毒的DNS解析器的路由器已接受该路由。”

由于这种情况,使用中毒DNS解析器的任何人(包括CloudFlare自己的解析器)都将返回由俄罗斯提供商拥有的IP地址,而不是亚马逊的IP地址。

Cloudflare的DNS解析器1.1.1.1在芝加哥,悉尼,墨尔本,珀斯,布里斯班,宿雾,曼谷,奥克兰,马斯喀特,吉布提和马尼拉受到影响,世界其他地区正常运作。

亚马逊已发布声明称上游ISP遭到入侵,而不是AWS或Amazon Route 53本身。

“无论是AWS还是亚马逊Route 53都没有受到攻击或入侵。一名上游互联网服务提供商遭到了恶意行为者的攻击,后者利用该提供商向其与该ISP进行对等的其他网络宣布了Route 53 IP地址的子集,”亚马逊称。

“这些对等网络,不知道这个问题,接受了这些公告,并错误地将单个客户域的一小部分流量导向该域的恶意副本。”

安全专家Kevin Beaumont 指出,攻击者资源充足,控制着目前在以太坊拥有近1600万美元的钱包。该事件还突出了核心互联网基础设施中众所周知的弱点。

“安装这种规模的攻击需要访问主要ISP和实际计算资源的BGP路由器来处理如此多的DNS流量。当他们拥有这样的访问级别时,似乎不太可能是MyEtherWallet,”他写道。

“BGP和DNS中的安全漏洞众所周知,并且之前遭到了攻击。这是我见过的最大规模的攻击,它结合了两者,它强调了互联网安全的脆弱性。它还强调了在攻击之前几乎没有人注意到有一个盲点。“

标签:

上一篇
下一篇