O serviço de DNS da Amazon Web Service (AWS), conhecido como Route53, foi usado para efetuar reroute  de tráfego web por duas horas e a atividade fraudulenta foi utilizada pelos hackers para roubo de cryptocurrency.

O serviço de DNS Route53, da AWS, foi usado para efetuar o reroute de tráfego web em cerca de 1300 endereços web, durante duas horas, com o objetivo de roubar cryptocurrency das carteiras online dos utilizadores.

A Amazon perdeu o controlo de um pequeno número de endereços IP de serviços na Cloud por duas horas na manhã de terça-feira, quando os hackers exploraram uma fraqueza conhecida do protocolo que lhes permitiu disfarçarem-se de MyEtherWallet.com e roubaram cerca de US$150.000 em moedas digitais dos utilizadores finais.  Ao que se sabe, os hackers também podem ter atacado outros clientes da Amazon.

Os atacantes usaram o BGP — um protocolo fundamental e usado para rotear o tráfego da Internet em todo o mundo — para redirecionar o tráfego para o serviço Route 53 da Amazon, o maior provedor de nuvem comercial que conta grandes websites como clientes, como p.ex., o Twitter.com.

Eles redirecionaram o tráfego de DNS usando um man-in-the-middle (MITM) attack e usaram um servidor na Equinix em Chicago. De lá, eles serviram o tráfego por mais de duas horas.

hijack route53 aws

 

Esta abordagem permitiu aos hackers interceptar o tráfego através da Internet para os clientes da Amazon Route 53.

A AWS noticiou a ocorrência neste comunicado:

“Neither AWS nor Amazon Route 53 were hacked or compromised. An upstream Internet Service Provider (ISP) was compromised by a malicious actor who then used that provider to announce a subset of Route 53 IP addresses to other networks with whom this ISP was peered. These peered networks, unaware of this issue, accepted these announcements and incorrectly directed a small percentage of traffic for a single customer’s domain to the malicious copy of that domain.”

 

Ao que se sabe, o único website conhecido e afetado foi o MyEtherWallet.com, um website de moedas digitais (cryptocurrency). Esse tráfego foi redirecionado para um servidor alojado na Rússia, que serviu o website usando um certificado falso — e  que mesmo assim serviu para comprometer algumas vítimas.

myetherwallet-fake-certificate

 

Os ataques  ganharam uma quantia relativamente pequena da moeda MyEtherWallet.com, no entanto, as carteiras maliciosas já tinham acomulado mais de 20 milhões de libras.

1_YjFvTI3Q_btgB_yQA80zww@2x

 

MyEtherWallet como único target?

Realizar um ataque desta natureza e de tão grande escala requer acesso a routers BGP nos principais ISPs e grandes recursos reais de computação para lidar com tanto tráfego de DNS. Parece improvável que o website MyEtherWallet.com seja o único alvo, quando os atacantes tinham tais níveis de acesso. Além disso, os atacantes não conseguiram obter um certificado SSL válido enquanto intermediário — um processo muito fácil — e que acabou por alertar as pessoas sobre o problema.

O problema real do BGP e DNS

As vulnerabilidades de segurança no BGP e no DNS são bem conhecidas e já foram exploradas no passado. Este é o maior ataque de escala já ocorrido, e que combina ambos, e ressalta também a fragilidade da segurança da Internet.