Portfel kryptowalutowy MyEtherWallet został zhakowany

297

Najbardziej popularny portfel kryptowalutowy MyEtherWallet został wczoraj zaatakowany przez grupę hakerską, która odsyłała użytkowników na rosyjską, fałszywą stronę MyEtherWallet. Hakerzy mieli dostęp do oficjalnej witryny MyEtherWallet przez około dwie godziny, a użytkownicy portfela podczas próby wejścia na stronę byli przekierowywani do witryny phishingowej. Tego typu ataki, oparte o przekierowanie serwerów DNS to stara, ale dalej skuteczna technika hakerska. Wciąż nie jest wiadomo, ile środków zostało skradzionych.

Cały atak polegał na przekierowywaniu użytkowników do fałszywej witryny MyEtherWallet, na której (po logowaniu) użytkownicy tracili dane do swoich kont MEW. Strona w pewien sposób się broniła, ukazując znany komunikat, iż „witryna jest prawdopodobnie zagrożona”. Część użytkowników zignorowała ten komunikat, a po logowaniu do konta (na witrynie phishingowej) wszystkie ich środki znikały. Większość osób dotkniętych problemem używało serwerów DNS Google. Część użytkowników, nie zważając na konsekwencję przycisnęli „Ignoruj” na ostrzeżeniu SSL, które pojawia się podczas odwiedzania złośliwej witryny naśladującej każdą chronioną stronę, taką jak MyEtherWallet.com.

Gdy atakujący uzyskał dane logowania przez fałszywą stronę, wykorzystał je na legalnej witrynie MEW do przeniesienia i kradzieży Ethereum i innych kryptowalut związanych ze standardem ERC20.

„Może się to zdarzyć w przypadku każdej witryny i nie wynika z braku bezpieczeństwa na platformie MEW, ale z powodu hakerów znajdujących luki w publicznych serwerach DNS. Twoje bezpieczeństwo i prywatność są ZAWSZE priorytetem. Nie przechowujemy żadnych danych osobowych, w tym kluczy” – oświadczył zespół MEW

W przypadku utraty certyfikatu SSL danego serwera, wyskakuje poniższy komunikat:

źródło: https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/

Zawsze należy się upewnić, że witryna posiada zielony certyfikat SSL. W tym przypadku z napisem „MyEtherWallet Inc”. 

portfel
źródło: myetherwallet.com
źródło: https://informatyk.bielsko.pl/produkt/usluga-zabezpieczenia-strony-internetowej-ssl-https/

Jak to się dokładnie stało?

Działania hakerów i proces ataku opisało cloudflare na swoim blogu. Cała sieć Internet składa się z tras (routes). Wchodząc na witrynę, poprzez DNS resolver 1.1.1.1 (rozwiązuje nazwę indywidualnego hosta), pokazujemy światu, że wszystkie IP w zakresie od 1.1.1.0 do 1.1.1.255 mogą być dostępne na dowolnym PoP Cloudflare. Dla osób, które nie mają bezpośredniego połączenia z routerami Cloudflare, otrzymują trasę za pośrednictwem dostawców usług tranzytowych, którzy będą dostarczać pakiety na te adresy, ponieważ są one połączone z Cloudflare i resztą Internetu. To jest normalny sposób działania Internetu. Istnieją organy (regionalne rejestry internetowe) odpowiedzialne za dystrybucję adresów IP, aby uniknąć osób korzystających z tej samej przestrzeni adresowej. Są to IANA, RIPE, ARIN, LACNIC, APNIC i AFRINIC. Cały przebieg ataku opisała strona cloudfare na swoim blogu.

Wczoraj między około 11:05:00 UTC, a 12:55:00 UTC zespół Cloudflare zauważył następujące komunikaty:

BGP4MP|04/24/18 11:05:42|A|205.251.199.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.197.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.195.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.193.0/24|10297
BGP4MP|04/24/18 11:05:42|A|205.251.192.0/24|10297
...
BGP4MP|04/24/18 11:05:54|A|205.251.197.0/24|4826,6939,10297

Są to bardziej szczegółowe ogłoszenia zakresów:

205.251.192.0/23

205.251.194.0/23

205.251.196.0/23

205.251.198.0/23

Powyżej opisana przestrzeń/adresy IP to strefa należąca do Amazon (AS16509). Te adresy IP są przeznaczone dla serwerów DNS Amazon Route53. Gdy podczas wyszukiwania witryn ze swoich stref klientów, te serwery muszą odpowiedzieć na zapytanie użytkownika „Jaki jest adres IP myetherwallet.com?”. Podczas przecieku (który trwał do dwóch godzin), serwery w zakresie adresów IP odpowiadały tylko na zapytania dotyczące myetherwallet.com. Każdy program rozpoznawania nazw DNS, który był proszony o nazwy obsługiwane przez Route53, zapyta autorytatywne serwery, które zostały przejęte przez wyciek BGP. To zainfekowane i błędnie rozpoznane nazwy DNS, których routery zaakceptowały tę trasę. Obejmuje to Cloudflare DNS resolver 1.1.1.1.

Cloudflare opisuje, iż serwery były dotknięte w Chicago, Sydney, Melbourne, Perth, Brisbane, Cebu, Bangkoku, Auckland, Muskacie, Dżibuti i Manilli. W pozostałych częściach świata DNS resolver 1.1.1.1 działał normalnie.

Poniżej widnieje prawidłowy schemat funkcjonowania całego procesu.

portfel
źródło: https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/

Poniższy schemat przedstawia przeciek trasy i „sukces” hakerów.

źródło: https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/

Korzystacie z portfela MEW? Doświadczyliście tego ataku na własnej skórze? Zapraszamy do dyskusji!

Komentarze