Aanvallers zijn er gisterenavond in geslaagd om tijdelijk ip-adressen van Amazon over te nemen en die vervolgens voor een dns-aanval te gebruiken. De aanval was gericht op gebruikers van MyEtherWallet, een online portemonnee voor de digitale valuta ethereum.
Voor het uitvoeren van de aanval werd er gebruik gemaakt van een "BGP-lek", zo meldt internetbedrijf Cloudflare. Het Border Gateway Protocol (BGP) is een routeringsprotocol dat wordt gebruikt om verkeer tussen verschillende providers te routeren. Wanneer een internetgebruiker geen directe link naar de router van een partij heeft, ontvangt die de route via een transitprovider die wel met de partij verbonden is.
Om te voorkomen dat mensen dezelfde adresruimte gebruiken zijn er Regional Internet Registries (RIRs) die verantwoordelijk zijn voor het toewijzen van ip-adressen. Bij een BGP-lek zegt iemand de eigenaar van een bepaalde adresruimte te zijn, terwijl hij dat eigenlijk niet is. Gisteren was er een partij die stelde dat het de eigenaar van de adresruimte van Amazon was.
Het ging hierbij specifiek om de ip-adressen van Amazons Route53 dns-servers. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Door de aanval werd er niet gewezen naar de servers van Amazon, maar naar die van de aanvallers. Die wezen internetgebruikers die naar myetherwallet.com wilden gaan vervolgens door naar een phishingsite. De aanvallers kregen zo toegang tot de accounts van gebruikers. Bij de aanval zou voor 152.000 dollar aan Ethereum zijn gestolen. Alle getroffen gebruikers krijgen hun geld terug, zo meldt MyEtherWallet op Reddit. Volgens Cloudflare is het lastig om één schuldige aan te wijzen, aangezien er meerdere partijen betrokken zijn, waaronder eindgebruikers die certificaatwaarschuwingen negeerden.
Deze posting is gelocked. Reageren is niet meer mogelijk.