Evento sospechoso secuestra el tráfico de Amazonas para 2 horas, roba criptomonedas

Evento sospechoso secuestra el tráfico de Amazon durante 2 horas, roba criptomonedasAmazon

Amazon perdió el control de una pequeña cantidad de sus servicios en la nube IP direcciones durante dos horas el martes por la mañana cuando los piratas informáticos explotaron una debilidad conocida del protocolo de Internet que les permite redirigir el tráfico a destinos deshonestos. Al subvertir la resolución de dominio de Amazon servicio, los atacantes se hicieron pasar por un sitio web de criptomonedas MyEtherWallet .com y robó alrededor de $ 150,000 en monedas digitales de usuarios finales inconscientes. Pueden haber apuntado a otros clientes de Amazon también.

El incidente, que comenzó alrededor de las 6 a.m., hora de California, secuestrado aproximadamente 1.300 direcciones IP, Internet propiedad de Oracle Inteligencia dijo en Twitter. La redirección maliciosa fue causada por rutas fraudulentas que fueron anunciadas por Columbus, con sede en Ohio eNet, un gran proveedor de servicios de Internet que se conoce como sistema autónomo 10297. Una vez en su lugar, el anuncio de eNet causó clientes de Hurricane Electric y posiblemente de Hurricane Electric y otros pares de eNet para enviar tráfico a través del mismo no autorizado rutas. Las 1.300 direcciones pertenecían a la ruta 53, dominio de Amazon servicio del sistema de nombres

En un comunicado, los funcionarios de Amazon escribieron: “Ni AWS ni Amazon La ruta 53 fue pirateada o comprometida. Un servicio de Internet aguas arriba El proveedor (ISP) fue comprometido por un actor malicioso que luego utilizó ese proveedor anunciará un subconjunto de direcciones IP de Route 53 a otras redes con las que se emparejó este ISP. Estos miraron redes, sin darse cuenta de este problema, aceptaron estos anuncios y dirigió incorrectamente un pequeño porcentaje de tráfico para un solo dominio del cliente a la copia maliciosa de ese dominio “.

Los funcionarios de eNet no respondieron de inmediato a una solicitud de comentario.

Otras lecturas

Los ataques repetidos secuestran grandes porciones de tráfico de Internet, Los investigadores advierten que el evento altamente sospechoso es el último en implican el Protocolo Border Gateway, la especificación técnica que Los operadores de red utilizan para intercambiar grandes porciones de tráfico de Internet. A pesar de su función crucial en la dirección de cantidades mayoristas de datos, BGP todavía se basa en gran medida en el equivalente en Internet de Word de parte de los participantes que se presume que son confiables. Organizaciones como Amazon cuyo tráfico es secuestrado actualmente no tienen medios técnicos efectivos para prevenir tales ataques.

En 2013, los piratas informáticos maliciosos secuestraron en repetidas ocasiones enormes tiradas de Tráfico de Internet en lo que probablemente fue una prueba de funcionamiento. En dos ocasiones el año pasado, el tráfico hacia y desde las principales empresas de EE. UU. era sospechosamente y enrutado intencionalmente a través de proveedores de servicios rusos. Tráfico para Visa, MasterCard y Symantec, entre otros, se redirigieron en primer incidente en abril, mientras que Google, Facebook, Apple y El tráfico de Microsoft se vio afectado en un evento BGP separado alrededor de las ocho meses después.

El evento del martes también puede tener vínculos con Rusia, porque El tráfico de MyEtherWallet fue redirigido a un servidor en ese país, El investigador de seguridad Kevin Beaumont dijo en una publicación de blog. los la redirección se produjo al redirigir el tráfico destinado a Amazon el sistema de nombres de dominio se resuelve en un servidor alojado en Chicago por Equinix que realizó un ataque de hombre en el medio. MyEtherWalletlas autoridades dijeron que el secuestro se usó para enviar a los usuarios finales a Sitio de phishing. Los participantes en este foro de criptomonedas parecen discutir el sitio de estafa.

En un comunicado, los funcionarios de Equinix escribieron: “El servidor utilizado en este incidente no fue un servidor Equinix sino un cliente equipos desplegados en uno de nuestros centros de datos IBX de Chicago. Equinixestá en el negocio principal de proporcionar espacio, energía y seguridad Entorno interconectado para nuestros más de 9.800 clientes en el interior 200 centros de datos en todo el mundo. Generalmente no tenemos visibilidad o control sobre lo que nuestros clientes – o clientes de nuestro clientes – hacer con sus equipos “.

Los atacantes lograron robar alrededor de $ 150,000 en moneda de Usuarios de MyEtherWallet, muy probablemente porque el sitio de phishing utilizó un falso certificado HTTPS que habría requerido que los usuarios finales hicieran clic a través de una advertencia del navegador. Aun así, informó Beaumont, el atacante la billetera ya contenía alrededor de $ 17 millones en monedas digitales, un indicación de que las personas responsables del ataque tuvieron un significativo recursos antes de llevar a cabo el hack del martes.

KevinBeaumont

El pequeño retorno, en comparación con los recursos y la dificultad. de llevar a cabo el ataque, está llevando a especular que MyEtherWallet no era el único objetivo.

“Montar un ataque de esta escala requiere acceso a enrutadores BGP son los principales ISP y recursos informáticos reales [sic] para tratar mucho tráfico DNS “, escribió Beaumont.” Parece poco probable MyEtherWallet.com era el único objetivo, cuando tenían esos niveles de acceso.”

Otra teoría es que el secuestro del martes fue otra prueba correr. Cualquiera sea la causa, es un desarrollo significativo porque cualquiera que pueda secuestrar el tráfico en la nube de Amazon tiene la capacidad de transportar fuera todo tipo de acciones nefastas.

Publicación actualizada para agregar comentarios de Equinix y Amazon.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: