週二早上, 當駭客利用已知的互聯網協議弱點, 讓他們將流量重定向到流氓目的地時, 亞馬遜在兩個小時內失去了對少數雲服務IP位址的控制權。 通過顛覆亞馬遜的功能變數名稱解析服務, 攻擊者偽裝成加密貨幣網站MyEtherWallet.com, 並從不知情的最終用戶手中偷走了大約150,000美元的數字硬幣。 他們也可能針對其他亞馬遜客戶。
這起事件大約在加利福尼亞州上午6點開始, 劫持了大約1,300個IP位址, 甲骨文所擁有的互聯網智能在Twitter上表示。 惡意重定向是由總部位於俄亥俄州哥倫布市的eNet(一家大型互聯網服務提供者稱為自治系統10297)宣佈的欺詐性路由引起的。 一旦實施, eNet公告就引起了Hurricane Electric以及可能的Hurricane Electric客戶和其他eNet對等方通過相同的未經授權的路由發送流量。 這個1,300個地址屬於Route 53, 亞馬遜的網域名稱系統服務
亞馬遜官員在一份聲明中寫道:“AWS和Amazon Route 53都沒有被駭客入侵或被入侵, 上游的互聯網服務提供者(ISP)遭到惡意攻擊者的破壞, 後者然後使用該提供商向其他用戶公佈路由53 IP地址的一部分這個互聯網與這個互聯網服務提供者的對等關係, 這些對等網路, 不知道這個問題, 接受了這些公告, 並錯誤地將一個客戶域的一小部分流量指向了該域的惡意副本。
高度可疑的事件是最新涉及邊界閘道協定的技術規範, 網路運營商用於交換大量Internet流量。 儘管它在處理大量資料方面起著至關重要的作用, 但BGP在很大程度上依賴於互聯網 - 相當於被推定為值得信賴的參與者口口相傳。
在2013年, 惡意駭客多次劫持大量的互聯網流量, 可能是一場測試。 去年有兩次, 進出美國主要公司的流量可疑並通過俄羅斯服務提供者故意傳送。 大約8個月後, 在四月的第一起事件中, Visa, 萬事達和賽門鐵克等網路的流量被重新發送, 而Google, Facebook, Apple和Microsoft的流量在單獨的BGP事件中受到影響。
安全研究員Kevin Beaumont在一篇博客文章中表示, 週二的事件也可能與俄羅斯有關係, 因為MyEtherWallet流量被重定向到該國的伺服器。 重定向是通過將用於亞馬遜網域名稱系統解析器的流量重新路由到Equinix在芝加哥託管的伺服器執行中間人攻擊。 MyEtherWallet官員表示, 劫持被用來將最終用戶發送到釣魚網站。 這個加密貨幣論壇的參與者似乎在討論這個騙局網站。
Equinix官員在一份聲明中寫道:“此次事件中使用的伺服器不是Equinix伺服器, 而是部署在我們芝加哥IBX資料中心的客戶設備。 Equinix的主要業務是提供空間, 電力和安全的互聯環境對於我們遍佈全球200多個資料中心的超過9,800名客戶而言, 我們通常不瞭解或控制我們的客戶或客戶的客戶對他們的設備所做的事情。“
攻擊者設法從MyEtherWallet用戶那裡竊取大約150,000美元的貨幣,很可能是因為該釣魚網站使用了一個虛假的HTTPS證書,該證書要求最終用戶點擊流覽器警告。據博蒙特報導,攻擊者錢包已經包含了大約1700萬美元的數字硬幣,這表明攻擊負責人在執行週二的駭客攻擊之前擁有大量資源。
與進行攻擊的資源和難度相比,這個小回報導致了人們猜測MyEtherWallet不是唯一的目標。
“加入這種規模的攻擊需要訪問BGP路由器是主要的ISP和真正的計算資源[原文如此]來處理這麼多的DNS流量,”Beaumont寫道。“當他們有這樣的訪問級別時,MyEtherWallet.com似乎不可能成為唯一的目標。”
另一個理論是,週二的劫持是又一次測試。無論是什麼原因,這是一個重大的發展,因為任何可以劫持亞馬遜雲流量的人都有能力執行各種惡意行為。
我們通常不瞭解或控制我們的客戶或客戶的客戶對他們的設備所做的事情。“攻擊者設法從MyEtherWallet用戶那裡竊取大約150,000美元的貨幣,很可能是因為該釣魚網站使用了一個虛假的HTTPS證書,該證書要求最終用戶點擊流覽器警告。據博蒙特報導,攻擊者錢包已經包含了大約1700萬美元的數字硬幣,這表明攻擊負責人在執行週二的駭客攻擊之前擁有大量資源。
與進行攻擊的資源和難度相比,這個小回報導致了人們猜測MyEtherWallet不是唯一的目標。
“加入這種規模的攻擊需要訪問BGP路由器是主要的ISP和真正的計算資源[原文如此]來處理這麼多的DNS流量,”Beaumont寫道。“當他們有這樣的訪問級別時,MyEtherWallet.com似乎不可能成為唯一的目標。”
另一個理論是,週二的劫持是又一次測試。無論是什麼原因,這是一個重大的發展,因為任何可以劫持亞馬遜雲流量的人都有能力執行各種惡意行為。