Amazon-kunder ledt til skummel side: Franarret kryptovaluta for en million kroner

Hvor fører et link egentlig en? Hvem ved. Illustration: tanaonte, BigStock
Angrebet udnyttede en generel svaghed i den måde, internet-udbydersystemet er skruet sammen på.

En ISP i Ohio, der faciliterer en lille del af Amazons trafik, er blevet kompromitteret og tvunget til at omdirigere trafik fra omkring 1.300 af Amazons ip-adresser til en skummel hjemmeside.

Siden foregav at være en legitim kryptovaluta-wallet magen til den, Amazon-brugerne forsøgte at komme ind på via Amazon, skriver ArsTechnica.

På den måde blev ofrene franarret omkring en million danske kroner i kryptovaluta.

Læs også: Rusland vs. Telegram: 16 mio. IP-adresser blokeret

Alle 1.300 ip-adresser tilhørte Amazons Route 53-DNS service. Amazon fastholder dog, at selskabets system i sig selv ikke er blevet hacket eller kompromitteret.

Læs også: Microsoft, Facebook, Cisco og Oracle lover aldrig at hjælpe regeringer med cyberangreb

»Hverken AWS eller Amazons Route 53 blev hacket eller kompromitteret. En upstream ISP blev kompromitteret af en ondsindet aktør, der brugte ISP’en til at omdirigere en del af vores trafik til en ondsindet side, der ligner den, vores kunder i første omgang prøvede at tilgå,« skriver Amazon i et skriftligt svar til ArsTechnica.

Bruger kendt usikkerhed

Angrebet er blot det seneste i en række af angreb, der involverer Border Gateway Protocol, der tillader ISP’er at udveksle internettrafik.

Læs også: Ulven kommer - eller er Amazon her egentlig ikke allerede?

Problemet med protokollen er, at den i høj grad bygger på indbyrdes tillid udbyderne imellem. Amazon, og alle andre indirekte brugere af systemet, har derfor ingen teknisk mulighed for at undgå denne slags angreb, skriver ArsTechnica.

Læs også: Mozilla i helbredsrapport: Slå giganterne i stykker og få et sundere internet

I 2013 var der flere eksempler på angreb, der udnyttede samme sårbarhed.

For kun to år siden blev trafik fra større, amerikanske fimaer tvunget gennem russiske ISP’er. Data fra Visa, Mastercard og sågar fra sikkerhedsselskabet Symantec blev udsat for en lignende omdirigering.

Næppe det eneste mål

Da siden, Amazon-kunderne i dette nylige angreb blev ledt hen mod, havde en kryptovaluta-wallet med ret mange midler i, tyder det på, at Amazon ikke har været det eneste mål.

Læs også: It-rådgiver: Absurd at tro at valg af cloud er det samme som at have en strategi

Det underbygges også af det faktum, at udbyttet var ganske lille, skiver ArsTechnica. Der må have været andre, lignende angreb, der gjorde brug af omdirigeringen, for ellers ville det ikke give mening set i forhold til det besvær, det er at søsætte et sådant angreb.

Læs også: Sådan viser Netflix film for hele verden – uden at crashe internettet

En helt anden mulighed er, at dette angreb kun var endnu et forsøg på at udføre et angreb som dette i en bestræbelse på at finpudse angrebsteknikken, skriver det amerikanske techmedie.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
Kristian Klausen

Amazon-kunder ledt til skummel side: Franarret kryptovaluta for en million kroner

Det er en ret misvisende overskrift, bare fordi at IP'erne tilhører AWS så er man jo ikke Amazon-kunde fordi man opretter forbindelse til dem.

En ISP i Ohio, der faciliterer en lille del af Amazons trafik, er blevet kompromitteret og tvunget til at omdirigere trafik fra omkring 1300 af Amazons ip-adresser til en skummel hjemmeside.

Det er også noget af en forsimpling, de har ikke omdirigeret trafik fra 1300 ip-adresser til en "skummel hjemmeside". Af hvad der er kommet frem indtil videre, har de kun "ændret" DNS'en for myetherwallet.com så trafikken flød til en russisk server.

For dem der søger noget mere dybtgående info, er følgende links værd at læse.
https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/ https://www.theregister.co.uk/2018/04/24/myetherwallet_dns_hijack/ https://mailman.nanog.org/pipermail/nanog/2018-April/095105.html

Tobias Tobiasen

Fra https://www.theregister.co.uk/2018/04/24/myetherwallet_dns_hijack/
"Victims had to click through a HTTPS error message, as the fake MyEtherWallet.com was using an untrusted TLS/SSL certificate."

Hvis brugerne har klikket forbi en HTTPS fejlbesked så fortjener de næste at miste deres cryptocurrency. Det virker usædvanligt naivt ikke at checke hængelåsen når det har noget med penge at gøre.

At journalisterne vælger at kalde det et amazon angreb er vist bare for at få lidt flere kliks. Det er vel udelukkende en IPS der er blevet angrebet og det er så brugt til at ændre DNS og sende trafikken til en angriberes egen webserver. Sammenkædning med Amazon virker meget søgt.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017