O serviço de DNS Route53, da AWS, foi usado para efetuar o reroute de tráfego web em cerca de 1300 endereços web, durante duas horas, com o objetivo de roubar cryptocurrency das carteiras online dos utilizadores.
A Amazon perdeu o controlo de um pequeno número de endereços IP de serviços na Cloud por duas horas na manhã de terça-feira, quando os hackers exploraram uma fraqueza conhecida do protocolo que lhes permitiu disfarçarem-se de MyEtherWallet.com e roubaram cerca de US$150.000 em moedas digitais dos utilizadores finais. Ao que se sabe, os hackers também podem ter atacado outros clientes da Amazon.
Os atacantes usaram o BGP — um protocolo fundamental e usado para rotear o tráfego da Internet em todo o mundo — para redirecionar o tráfego para o serviço Route 53 da Amazon, o maior provedor de nuvem comercial que conta grandes websites como clientes, como p.ex., o Twitter.com.
Eles redirecionaram o tráfego de DNS usando um man-in-the-middle (MITM) attack e usaram um servidor na Equinix em Chicago. De lá, eles serviram o tráfego por mais de duas horas.
Esta abordagem permitiu aos hackers interceptar o tráfego através da Internet para os clientes da Amazon Route 53.
A AWS noticiou a ocorrência neste comunicado:
“Neither AWS nor Amazon Route 53 were hacked or compromised. An upstream Internet Service Provider (ISP) was compromised by a malicious actor who then used that provider to announce a subset of Route 53 IP addresses to other networks with whom this ISP was peered. These peered networks, unaware of this issue, accepted these announcements and incorrectly directed a small percentage of traffic for a single customer’s domain to the malicious copy of that domain.”
Ao que se sabe, o único website conhecido e afetado foi o MyEtherWallet.com, um website de moedas digitais (cryptocurrency). Esse tráfego foi redirecionado para um servidor alojado na Rússia, que serviu o website usando um certificado falso — e que mesmo assim serviu para comprometer algumas vítimas.
Os ataques ganharam uma quantia relativamente pequena da moeda MyEtherWallet.com, no entanto, as carteiras maliciosas já tinham acomulado mais de 20 milhões de libras.
MyEtherWallet como único target?
Realizar um ataque desta natureza e de tão grande escala requer acesso a routers BGP nos principais ISPs e grandes recursos reais de computação para lidar com tanto tráfego de DNS. Parece improvável que o website MyEtherWallet.com seja o único alvo, quando os atacantes tinham tais níveis de acesso. Além disso, os atacantes não conseguiram obter um certificado SSL válido enquanto intermediário — um processo muito fácil — e que acabou por alertar as pessoas sobre o problema.
O problema real do BGP e DNS
As vulnerabilidades de segurança no BGP e no DNS são bem conhecidas e já foram exploradas no passado. Este é o maior ataque de escala já ocorrido, e que combina ambos, e ressalta também a fragilidade da segurança da Internet.