Amazon mất quyền kiểm soát một số lượng nhỏ các địa chỉ IP dịch vụ đám mây trong hai giờ khi tin tặc khai thác điểm yếu giao thức Internet, điều này cho phép họ chiếm đoạt lưu lượng truy cập Amazon và chuyển hướng lưu chúng đến các điểm đến giả mạo. Bằng cách phá hoại dịch vụ phân giải miền của Amazon, những kẻ tấn công đã giả mạo trang web tiền ảo MyEtherWallet.com và đã đánh cắp tiền ảo (khoảng 150.000 đô la) từ những người dùng cuối. Những kẻ tấn công này cũng có thể đã nhắm đến các khách hàng Amazon khác.

Internet Intelligence thuộc sở hữu của Oracle cho biết trên Twitter rằng vụ việc xảy ra vào khoảng 6 giờ sáng ở California và đã cướp đi khoảng 1.300 địa chỉ IP. Sự chuyển hướng độc hại gây ra bởi các route trái phép đã được thông báo bởi Columbus, Ohio nền tảng eNet – một nhà cung cấp dịch vụ Internet lớn được gọi là hệ thống tự trị 10297. Cùng một lúc, thông báo của eNet đã khiến Hurricane Electric, các khách hàng Hurricane Electric và những đồng nghiệp eNet khác gửi lưu lượng truy cập trên các route trái phép tương tự. 1.300 địa chỉ thuộc về Route 53 – dịch vụ hệ thống tên miền của Amazon.

Trong một tuyên bố, người đứng đầu của Amazon đã viết: “Cả AWS lẫn Amazon Route 53 đều không bị tấn công hoặc bị xâm nhập. Nhà cung cấp dịch vụ Internet thượng nguồn (ISP) đã bị xâm nhập bởi một kẻ xấu, sau đó kẻ xấu này sử dụng nhà cung cấp đó để thông báo một tập con của các địa chỉ IP Route 53 tới mạng lưới mà người dùng đã xem xét. Những mạng ngang hàng này sẽ chấp nhận các thông báo và hướng một phần nhỏ lưu lượng truy cập cho một miền của khách hàng đến bản sao độc hại của miền đó.”

Người đứng đầu eNet đã không trả lời ngay lập tức một yêu cầu bình luận nào.

Sự kiện đáng ngờ này là sự kiện mới nhất liên quan Border Gateway Protocol, đặc tả kỹ thuật mà các nhà khai thác mạng sử dụng để trao đổi lưu lượng truy cập Internet lớn. Mặc dù chức năng quan trọng của nó trong việc xác định số lượng dữ liệu, BGP vẫn chủ yếu dựa vào Internet – tương đương với truyền miệng từ những người tham gia được cho là đáng tin cậy. Các tổ chức như Amazon có lưu lượng truy cập bị tấn công hiện không có phương tiện kỹ thuật hiệu quả để ngăn chặn các cuộc tấn công như vậy.

Trong năm 2013, các tin tặc độc hại liên tục chiếm đoạt rất nhiều lưu lượng truy cập Internet. Trong hai sự kiện năm ngoái, lưu lượng truy cập đến và đi từ các công ty lớn của Hoa Kỳ khá là đáng ngờ và được cố ý định tuyến thông qua các nhà cung cấp dịch vụ của Nga. Lưu lượng truy cập cho Visa, MasterCard và Symantec được định tuyến lại lần đầu tiên vào tháng 4, trong khi lưu lượng truy cập của Google, Facebook, Apple và Microsoft bị ảnh hưởng trong một sự kiện BGP riêng biệt khoảng tám tháng sau đó.

Nhà nghiên cứu bảo mật Kevin Beaumont cho biết trong một bài đăng trên blog rằng sự kiện của Amazon cũng có thể có quan hệ với Nga, bởi vì lưu lượng truy cập MyEtherWallet đã được chuyển hướng đến một máy chủ ở quốc gia đó. Việc chuyển hướng đến bằng cách định tuyến lại lưu lượng truy cập dành cho hệ thống tên miền của Amazon phân giải tới một máy chủ được tổ chức tại Chicago bởi Equinix đã thực hiện một cuộc tấn công trung gian. Các quan chức MyEtherWallet cho biết vụ tấn công đã được sử dụng để gửi người dùng cuối đến một trang web lừa đảo. Những người tham gia diễn đàn tiền ảo này xuất hiện để thảo luận về trang web lừa đảo.

Trong một tuyên bố, người đứng đầu Equinix đã viết: “Máy chủ được sử dụng trong vụ việc này không phải là một máy chủ Equinix mà là thiết bị của khách hàng được triển khai tại một trong các trung tâm dữ liệu của chúng tôi tại trung tâm dữ liệu Chicago IBX. Equinix là doanh nghiệp đầu tiên cung cấp không gian, sức mạnh và môi trường kết nối an toàn cho hơn 9.800 khách hàng của chúng tôi trong 200 trung tâm dữ liệu trên toàn thế giới. Chúng tôi thường không có khả năng hiển thị hoặc kiểm soát những gì khách hàng của chúng tôi – hoặc khách hàng của khách hàng của chúng tôi – thực hiện với thiết bị của họ. ”

Những kẻ tấn công đã cướp được khoảng 150.000 đô la tiền ảo từ những người dùng MyEtherWallet, rất có thể là do trang web lừa đảo đã sử dụng chứng chỉ HTTPS giả mạo để yêu cầu người dùng cuối nhấp qua cảnh báo trình duyệt. Tuy nhiên, Beaumont báo cáo rằng ví tiền của kẻ tấn công đã chứa khoảng 17 triệu đô la tiền ảo, một dấu hiệu cho thấy những người chịu trách nhiệm về vụ tấn công có nguồn lực đáng kể trước khi thực hiện việc tấn công Amazon.

Hacker chiếm đoạt lưu lượng truy cập Amazon trong vòng 2 giờ

Khi so sánh với các nguồn lực và khó khăn của việc thực hiện cuộc tấn công đã dẫn đến suy đoán rằng MyEtherWallet không phải là mục tiêu duy nhất.

Beaumont viết: “Gắn kết một cuộc tấn công quy mô yêu cầu truy cập vào các bộ định tuyến BGP là các ISP chính và tài nguyên máy tính thực sự [sic] để đối phó với rất nhiều lưu lượng DNS. Có vẻ như MyEtherWallet.com không phải là mục tiêu duy nhất, khi họ có các cấp truy cập như vậy.”

Một giả thuyết khác cho rằng vụ tấn công Amazon là một thử nghiệm khác. Bất kể kết quả mà cuộc tấn công đem lại, đó là một sự phát triển đáng kể bởi vì bất cứ ai có thể chiếm đoạt lưu lượng truy cập Amazon đều có khả năng thực hiện tất cả các loại hành động bất chính.

Bài đăng cập nhật để thêm nhận xét từ Equinix và Amazon.

Hacker chiếm đoạt lưu lượng truy cập Amazon trong vòng 2 giờ