AWS流量劫持用户以两小时加密货币抢劫发送到网络钓鱼站

周二，攻击者利用核心互联网基础设施中的扭结引发了复杂的攻击，导致以太坊钱包开发者网站的用户被重定向到网络钓鱼网站。

MyEtherWallet的用户在没有注意到HTTPS浏览器警告他们被引导到的网站使用的是自签名数字证书后，向攻击者损失了大约150,000美元。

MyEtherWallet开发人员在Reddit的一份声明中表示，许多域名系统(DNS)服务器在UTC时间中午12点被劫持，将用户指向一个托管在俄罗斯IP地址上的网络钓鱼站点。重定向发生了大约两个小时。

登录其帐户的任何人都会泄露其凭据。此外，已登录的浏览器将通过浏览器cookie传输登录信息。这两种结果都使攻击者有机会登录真实网站并窃取以太坊。

Cloudflare将此事件描述为BGP或边界网关协议“泄漏”，允许攻击者错误地宣布由Amazon的Route 53托管DNS服务(MyEtherWallet.com使用)拥有的协议(IP)空间。

BGP维护一个可用IP网络表，并找到最有效的互联网流量路由。ISP向其所在的其他网络公布IP地址。

在攻击期间，总部位于俄亥俄州的IP服务提供商eNet Inc错误地向其同行宣布部分AWS的IP空间，并将其转发给互联网骨干网提供商Hurricane Electric，后者又影响了Cloudflare的DNS目录解析器。

“在两个小时的泄漏期间，IP范围内的服务器仅响应对MyEtherWallet的查询，”Cloudflare工程师Louis Poinsignon解释道。

“任何被请求由Route53处理的名称的DNS解析器都会询问已经通过BGP泄漏接管的权威服务器。这个中毒的DNS解析器的路由器已接受该路由。”

由于这种情况，使用中毒DNS解析器的任何人(包括CloudFlare自己的解析器)都将返回由俄罗斯提供商拥有的IP地址，而不是亚马逊的IP地址。

Cloudflare的DNS解析器1.1.1.1在芝加哥，悉尼，墨尔本，珀斯，布里斯班，宿雾，曼谷，奥克兰，马斯喀特，吉布提和马尼拉受到影响，世界其他地区正常运作。

亚马逊已发布声明称上游ISP遭到入侵，而不是AWS或Amazon Route 53本身。

“无论是AWS还是亚马逊Route 53都没有受到攻击或入侵。一名上游互联网服务提供商遭到了恶意行为者的攻击，后者利用该提供商向其与该ISP进行对等的其他网络宣布了Route 53 IP地址的子集，”亚马逊称。

“这些对等网络，不知道这个问题，接受了这些公告，并错误地将单个客户域的一小部分流量导向该域的恶意副本。”

安全专家Kevin Beaumont 指出，攻击者资源充足，控制着目前在以太坊拥有近1600万美元的钱包。该事件还突出了核心互联网基础设施中众所周知的弱点。

“安装这种规模的攻击需要访问主要ISP和实际计算资源的BGP路由器来处理如此多的DNS流量。当他们拥有这样的访问级别时，似乎不太可能是MyEtherWallet，”他写道。

“BGP和DNS中的安全漏洞众所周知，并且之前遭到了攻击。这是我见过的最大规模的攻击，它结合了两者，它强调了互联网安全的脆弱性。它还强调了在攻击之前几乎没有人注意到有一个盲点。“