【更新 AWS 聲明】駭客劫持亞馬遜 DNS,盜走 15 萬美元以太幣

作者 | 發布日期 2018 年 04 月 25 日 9:36 | 分類 Amazon , 數位貨幣 , 資訊安全 follow us in feedly

24 日又傳出加密貨幣的資安事件,有駭客透過劫持亞馬遜的 DNS 盜取了近 150,000 美元的以太幣。而這不僅是加密貨幣的問題,可能是足以威脅整個網路的隱憂,而亞馬遜 AWS 已出面說明此事。



此事件引發相當多的關注,因為這暴露出了現行網路架構的弱點。當時認為駭客透過綁架亞馬遜 DNS 伺服器的部分功能長達兩個小時,並且將 MyEtherWallet 的流量引導至假網站,並趁機盜取了上萬美元的以太幣,且據信,此盜竊帳戶已有近 2,700 萬美元的價值,這是以目前一枚以太幣大約 700 美元的市價來計算。

InfoSec 資安研究員 Kevin Beaumont 指出,此事件在於駭客將 AWS 的 Route53 DNS 流量重新定向到位於俄羅斯的伺服器,並竊取了用戶的隱私訊息。且此手法早被運用已久。例如在 2013 年,就有駭客透過俄羅斯的 ISP 路由劫持流量,受影響的公司包括 Visa、MasterCard、Apple 及微軟等大企業。

目前亞馬遜 AWS 已發出聲明澄清,AWS 服務及 Amazon Route 53 並沒有真的被駭客入侵或盜用,而是上游 ISP 供應商遭到惡意攻擊,並向其它與該 ISP 業者串連的網路發布了 Route 53 IP 位址的子集,繼而將部分流量導向惡意網站。

這種針對邊界網關協議(Border Gateway Protocol,BGP)的攻擊,可說是現行網際網路的軟肋,但是需要相當複雜的技術及昂貴的設備,所以 MyEtherWallet 應該不會是唯一的目標,且實際盜取財富也不算太多,可能只是剛好偶然被發現而已。甲骨文的網路智庫表示,這起事件並也非劫持了所有流量,大約 1,300 個 IP 位址。

這樣的安全漏洞其實早就被發現,但如此大規模的攻擊相當罕見,值得關注。因為這種手法並未取得真正的 SSL 認證,所以用戶可以透過 SSL 連線的異常來即早發現問題,也是最簡單的方法。所以 MyEtherWallet 發表聲明指出,建議用戶在此期間先切換至 Cloudflare DNS 服務器,並且注意有關 SSL 的彈出警告,確保 SSL 證書標明「MyEtherWallet Inc」,並將加密貨幣儲存在硬體上。

LEO 資安公司的 DNS 專家暨首席技術長Andrew Hay表示,這個漏洞根植於 BGP 原本的設計中。一旦被劫持,大量的流量將被自動重新定向,且基於網際網路的效率,且避免被中斷的危機,這個過程是自動化的,不太可能改由手動處理。

(首圖來源:shutterstock)

延伸閱讀:

關鍵字: , , ,