Search by category:
Économie

Le piratage du réseau DNS AWS transforme MyEtherWallet en ThievesEtherWallet

Actualisé Crooks a aujourd’hui piraté les connexions Internet aux systèmes Amazon Web Services pour finalement voler un morceau de pièces alt du site de crypto-monnaie en ligne MyEtherWallet.com.
Le développeur de portefeuille Ethereum confirmé Mardi matin, les voleurs ont redirigé les recherches DNS pour son point-com vers un site malveillant se faisant passer pour le vrai. Cela signifiait que certaines personnes se connectant à MyEtherWallet.com se connectaient vraiment à un site bidon et transmettaient leurs détails à des criminels, qui vidaient rapidement ETH des portefeuilles de leurs marques.
Les victimes devaient cliquer sur un message d’erreur HTTPS, car le faux MyEtherWallet.com utilisait un certificat TLS / SSL non approuvé. Les bandits ont amassé 17 millions de dollars à Ethereum portefeuille heures supplémentaires.
Fondamentalement, ce détournement de DNS a été possible après que les mécréants aient retiré un classique BGP détournement attaque sur AWS. MyEtherWallet.com utilise Amazon’s Route 53 Service DNS de sorte que lorsque les utilisateurs essaient de visiter le point-com, AWS recherche et renvoie aux navigateurs Web les adresses IP des serveurs Web du portefeuille.
Entre 11h et 13h UTC aujourd’hui, quelqu’un a pu envoyer BGP – Border Gateway Protocol – des messages aux routeurs centraux d’Internet pour les convaincre d’envoyer le trafic destiné à certains serveurs d’AWS vers une boîte renégate aux États-Unis.
Cette machine voyou a alors agi comme le service DNS d’AWS, et a donné les mauvaises adresses IP pour MyEtherWallet.com, pointant certains visiteurs malchanceux vers le point-com sur un site d’hameçonnage qui leur a volé leur argent.
Plus précisément, les 1300 adresses IP appartenant à AWS suivantes ont été piratées via BGP ingdling:

BGP détournement ce matin affecté Amazon DNS. eNet (AS10297) de Columbus, OH a annoncé aujourd’hui les détails suivants des routes Amazon de 11h05 à 13h03 UTC: 205.251.192.0/24 205.251.193.0/24 205.251.195.0/24 205.251.197.0/24 205.251.199.0/24 – InternetIntelligence (@InternetIntel) 24 avril 2018
BGP est la colle de l’internet. Le réseau se casse et se répète encore et encore, tout au long de la journée, tous les jours, comme les voies physiques entre les machines et les réseaux s’ouvrent et se ferment, ou sont modifiées. L’équipement de routage au cœur des échanges Internet Messages BGP pour maintenir leurs tables de routes actives. Ces routes garantissent que si vous utilisez l’adresse IP publique de, disons, 1.2.3.4 pour vous connecter à un système en 5.6.7.8, vos paquets sont envoyés via les réseaux appropriés et les liens physiques pour atteindre la bonne case.
Si ces entrées de table sont malicieusement modifiées pour diriger le trafic loin de la cible, les connexions aux sites Web et aux services peuvent être détournées. C’est parfois un peu trop facile de s’en sortir, et cela aboutit presque toujours à une fraude.

Vide

“Dès que je me suis connecté [à myetherwallet.com], il y a eu un compte à rebours pendant environ 10 secondes et un transfert a été fait en envoyant l’argent disponible que j’avais sur le portefeuille à un autre portefeuille.” a écrit une victime du cambriolage crypto-cash d’aujourd’hui.
“Je n’ai aucune idée de ce qui s’est passé, je télécharge à peine des choses et je pensais que j’étais assez prudent pour éviter les problèmes.”
BGP détournement est, malheureusement, décennies , et a prouvé technique fiable pour les criminels et autres ordures au cours des années .
Dans ce cas, on pense que les voleurs ont utilisé un serveur hébergé Equinix compromis à Chicago pour capturer le trafic réacheminé du service DNS Route 53 d’AWS. Techniquement, les mécréants derrière le détournement pourraient avoir arraché le contrôle de tous les sites utilisant la Route 53 pour le DNS. L’impact du détournement aurait pu être bien pire qu’un raid sur les magasins d’argent ETH.
Le site d’hameçonnage malveillant était hébergé en Russie. La seule indication que quelque chose n’allait pas était le certificat auto-signé de la page d’hameçonnage présenté, quand les gens essayaient de se connecter à MyEtherWallet.com.
Il est revendiqué le bloc de réseau AS10297 , appartenant au site Web basé en Ohio d’hébergement biz eNet, a annoncé qu’il pourrait prendre en charge le trafic destiné à certaines des adresses IP d’AWS. eNet se connecte avec les grands opérateurs de niveau 3, Hurricane Electric, Cogent, NTT et autres, et est donc branché sur le backbone d’Internet. eNet était bien placé pour modifier une partie de la plomberie Internet du monde afin de rediriger les connexions vers le service DNS de Route 53, en d’autres termes.
Il est très probable que quelqu’un a pris les systèmes d’eNet sur un joyride – c’est-à-dire: sans permission – pour faire cette annonce d’ajustement de routage.
L’attaque est maintenant censée avoir été résolue, avec les routes restaurées, bien que certains caches DNS puissent encore contenir les mauvaises adresses IP pour Myetherwallet.com pendant un moment. Le site conseille aux clients de faire preuve de prudence et, si possible, de laisser leurs portefeuilles hors ligne. Le site conseille également aux parieurs de passer leurs paramètres DNS des serveurs DNS de Google à ceux de Cloudflare , qui semblait avoir ignoré le switcheroo d’aujourd’hui.
“Utilisateurs, VEUILLEZ VOUS ASSURER qu’il existe un certificat SSL de la barre verte indiquant” MyEtherWallet Inc “avant d’utiliser MEW,” MyEtherWallet’s admins plaidés au cours des dernières heures.
“Nous conseillons aux utilisateurs d’exécuter une copie locale (hors ligne) du fichier MEW (MyEtherwallet) Nous invitons les utilisateurs à utiliser des portefeuilles matériels pour stocker leurs cryptocurrences.”
MyEtherWallet conseille également aux clients d’être à l’affût des arnaques «remboursement», où les voleurs demandent aux utilisateurs de remettre le paiement afin de recevoir un retour pour leurs fonds volés. Cela est devenu une arnaque commune sur Twitter et les forums de messages de crypto-monnaie.
L’attaque est aussi, comme on peut s’y attendre, à l’origine d’une agitation en dehors de la communauté Ethereum. Le détournement souligne la nécessité d’aborder les vulnérabilités fondamentales dans BGP, qui a été conçu dans les premiers jours d’Internet quand la confiance entre les réseaux était implicite. Ces jours-ci, DNSSEC et HSTS serait un bon début.

L’attaque d’aujourd’hui sur @myetherwallet (via le piratage BGP des serveurs de noms AWS) prouve hors de tout doute que tout le monde devrait implémenter DNSSEC et HSTS dès que possible! DNSSEC = resolvers refuserait de faux enregistrements HSTS = les navigateurs empêcheraient les utilisateurs de se brûler à partir des certificats auto-signés. – Patryk Szczygłowski (@epatryk) 24 avril 2018
Kevin Beaumont estime que d’autres sites pourraient avoir été ciblés, notant que l’attaque de Myetherwallet n’a été repérée qu’après que les redirections DNS se soient arrêtées d’elles-mêmes.
“Le montage d’une attaque de cette ampleur nécessite l’accès aux routeurs BGP chez les principaux fournisseurs de services Internet et aux ressources informatiques réelles pour gérer un trafic DNS aussi important” Beaumont a dit . “Il semble peu probable que Myetherwallet.com soit la seule cible, quand ils avaient un tel niveau d’accès.”
Un porte-parole d’AWS n’était pas disponible pour un commentaire immédiat. Un représentant d’eNet a refusé de commenter: “Nous ne sommes pas intéressés, merci.” ®

Mis à jour pour ajouter

Un porte-parole d’Equinix vient d’envoyer El Reg la déclaration suivante:

Et un porte-parole d’AWS a été en contact pour nous dire:

Donc, en bref, eNet a été réquisitionné par les mécréants pour persuader ses pairs – potentiellement Hurricane Electric, niveau 3, et d’autres – de rediriger le trafic Internet de certains serveurs DNS Route 53 vers un serveur DNS malveillant qui redirigeait alors les visiteurs vers MyEtherWallet.com vers un site d’hameçonnage, pour voler environ 150 000 $ à Ethereum.

One Comment

  1. Honnêtement, je me demande si ceci s’avère être une bonne ou mauvaise nouvelle. En effet, je n’y connais pas grand-chose en ce qui concerne le réseau DNS AWS et le MyEtherWallet. Je réalise l’achat, la vente et le stockage de mes crypto monnaies dans un portefeuille sécurisé sur la plateforme Tradicrypto.com. C’est pourquoi, je me suis un peu perdu en lisant votre article. Toutefois, il m’a été très instructif. Merci.

    Reply

Post Comment