Daha önce bilinmeyen bir Bitcoin ve Ethereum yatırımcısı, BGP protokolünü, BGP sahtekarlığı komut dosyalarını ve bir BGP oturum ele geçirme uygulamasını kullanarak, Amazon Route 53 DNS trafiğini Rusya’daki web sunucusuna başarıyla yönlendirdi. Bu durum, meşru MyEtherWallet.com web sitesinin birkaç saatliğine farklı görünmesine ve kripto paranın üçüncü taraf bir Ethereum web cüzdanına aktarılmasına neden oldu. Bu taktik bazen “kötü ikizleme” olarak adlandırılır.
MyEtherWallet web sitesinin bir klonunu kullanan bir kimlik avı saldırısı, iki saat içinde 215 ETH değerinde kripto paranın çalınmasına yol açtı.
Sahte rota değişikliği, ABD’nin Columbus şehrinde bulunan büyük bir internet servis sağlayıcısı olan eNet AS10297 adına gerçekleştirildi. BGP oturumunun ele geçirilmesinin ve yeni BGP rota duyurularının yayınlanmasının ardından, Level3, Hurricane Electric, Cogent ve NTT gibi büyük sağlayıcılar da dahil olmak üzere eNet’e komşu tüm düğümler, trafiği saldırganlar tarafından belirtilen rota üzerinden Amazon Route 53’e yönlendirmeye başladı. Sahte BGP duyurusu nedeniyle, Amazon alt ağlarına (yaklaşık 1300 IP adresi) yapılan istekler iki saat boyunca saldırgan tarafından kontrol edilen ve Chicago’daki bir Equinix veri merkezinde bulunan bir sunucuya yönlendirildi; burada DNS yanıtlarını taklit etmek için bir “ortadaki adam” saldırısı gerçekleştirildi.
Sahte DNS ayarları nedeniyle, MyEtherWallet.com kullanıcıları, kendinden imzalı bir HTTPS sertifikası kullanan sahte bir web sitesine yönlendirildi ve bu da tarayıcıda güvenlik sorunlarıyla ilgili uyarılara neden oldu. Bu durum, bilinmeyen bir yatırımcının mevcut döviz kuru üzerinden yaklaşık 137.000 dolarlık kripto parayı cüzdanlarına aktarmasını engellemedi. Eğer meşru kullanıcı kimlik avı sitesinde başarılı bir şekilde kimlik doğrulamasını tamamladıysa, tüm fonları MyEtherWallet’ten çekildi. Saldırganın veya işlemleri gerçekleştiren yatırımcı olarak kabul edilebilecek kişinin çok zengin bir birey olduğu ortaya çıktı: Saldırı sırasında transferlerin yönlendirildiği ETH cüzdanlarından birinde şu anda 24.276 ETH bulunuyor, bu da 15 milyon dolardan fazla bir değere denk geliyor.
Saldırganlar, kurbanların bir uyarıya tıklamasını gerektiren özel bir sertifika yerine, tarayıcı tarafından güvenilen bir TLS sertifikası almış olsalardı, çalınan miktar muhtemelen daha yüksek olurdu.
Bazı siber güvenlik araştırmacıları, büyük bir internet servis sağlayıcısının BGP yönlendiricisine erişimin ve büyük miktarda DNS trafiğini yönetme kaynaklarının, saldırının MyEtherWallet.com dolandırıcılığıyla sınırlı olmadığını gösterebileceğine inanıyor; saldırıda kullanılan bilinmeyen bir yatırımcının ETH cüzdanına yapılan sürekli transferler de bu hipotezi destekliyor.
Açıkçası, BGP oturum ele geçirme saldırıları sonucu IP adreslerinin kontrolünü kaybeden tek bulut operatörü Amazon değil. BGP’nin beceriksiz yapılandırma hatalarına ve açık dolandırıcılığa karşı savunmasızlığı yirmi yılı aşkın süredir ortada. Sonuç olarak, bu güvenlik eksikliği telekomünikasyon sektöründe sektör genelinde bir sorundur ve Amazon tek başına bunu çözemez.
Leave a Reply