Фишинг-атака на платёжную систему Trezor, вероятно проведённая с использованием BGP

02.07.2018 11:17

Зафиксирована вторая атака на сервисы криптокошельков, вероятно проведённая с использованием BGP. На этот раз злоумышленникам удалось перенаправить на подставной сайт часть пользователей финансового сервиса Trezor, предоставляющего аппаратное устройство для локального хранения ключей от кошельков с различными криптовалютами и унифицированный интерфейс для работы с кошельками.

В ответ на попытки определения имени хоста wallet.trezor.io некоторым пользователям какое-то время выдавался IP-адрес клона сайта Trezor Wallet, на котором при попытке входа выводилось сообщение о повреждении данных в хранилище с предложением ввести последовательность для восстановления доступа к кошельку. В случае ввода кода, злоумышленники получали полный контроль за ключами к криптовалютам, размещённым в хранилище Trezor (wallet.trezor.io предоставляет web-интерфейс для доступа к подключенному к системе пользователя аппаратному хранилищу ключей).

Судя по опубликованной разработчиками Trezor информации, все признаки указывают на то, что как и при проведении апрельской атаки на MyEtherWallet, для организации фишинга использовалась подстановка фиктивного маршрута в BGP, благодаря которой удалось перенаправить трафик подсетей с DNS-серверами Trezor на подконтрольный атакующим сервер, на котором была организована MiTM-атака по подмене ответов DNS. Не исключается также применение целевых атак на DNS-серверы крупных провайдеров для организации выдачи ложного IP через отравление кэша DNS.

Атака была зафиксирована в выходные, после того как от пользователей стали поступать сообщения о применении некорректного SSL-сертификата на сайте wallet.trezor.io (атакующие использовали самоподписанный сертификат, для которого выдавалось предупреждение в браузере). Информации о размере нанесённого в ходе атаки ущерба пока нет, анализ инцидента ещё не завершён и окончательно метод подмены результатов обращения к DNS пока не ясен (наиболее вероятным называется подстановка маршрутов BGP, но никаких деталей и подтверждений от сервисов мониторинга BGP пока нет).

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/48889-bgp

Ключевые слова: bgp, coin, bitcoin

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (41)

1.1, Аноним (1), 11:23, 02/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Объясните мне дубине как такое реализуется? Если у меня есть свой IP пул, AS, и стыки с другими AS, то я у себя анонсирую IPшники этого сервиса, у соседей перестраивается таблица BPG и трафик идет ко мне?

2.8, имя (?), 11:46, 02/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
да, что-то типа такого лучше почитай https://www.opennet.ru/opennews/art.shtml?num=48494

2.11, Аноним (11), 11:58, 02/07/2018 [^] [^^] [^^^] [ответить]	+5 +/–
Да, так. Ещё может быть атака на BGP-сессию между маршрутизаторами. По хорошему все должны настраивать BGP фильтры строго по whois и вырезая /25+ вдобавок. А так же настраивать IPSEC между маршрутизаторами. В таком случае ни одна из атак не пройдёт.

3.29, Аноним (29), 19:43, 02/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> А так же настраивать IPSEC между маршрутизаторами Ишь, чё захотел...

4.38, админ локалхоста (?), 14:45, 04/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
он имел ввиду, наверное, control-plane трафик. Так то ничего необычного, то же OSPFv3 использует IPSEC вместо собственног велосипеда для аутентификации, что есть правильно. в bgp есть встроенный механизм PSK-аутентификации сессии

1.2, П (?), 11:24, 02/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Видимо не успели выдать валидный сертификат lets encrypt. и Тогда бы никто не заметил, о невалидном сайте.

2.3, Аноним (-), 11:29, 02/07/2018 [^] [^^] [^^^] [ответить]	–7 +/–
Два сертификата на одно доменное имя не выдают.

3.5, Аноним (5), 11:30, 02/07/2018 [^] [^^] [^^^] [ответить]	+3 +/–
Выдают, лично получал и с Let's Encrypt, и со StartSSL.

4.6, Аноним (-), 11:39, 02/07/2018 [^] [^^] [^^^] [ответить]	+/–
На разные поддомены?

5.12, Аноним (5), 12:26, 02/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
На один и тот же. Сегодня я как раз собирался обновлять сертификаты Let's Encrypt, попробую из интереса их получить, но не устанавливать на сервер, и точно посмотреть, что будет со старыми сертификатами (теоретически можно было бы отозвать старые сертификаты, но вроде бы не отзывают)

6.18, Аноним (5), 15:13, 02/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Обновил, десять минут - полёт нормальный, браузеры признают оба сертификата (и старый, и новый)

7.35, Аноним (5), 11:50, 03/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Почти сутки - полёт всё ещё нормальный, старый сертификат продолжает успешно приниматься браузерами.

8.42, некропостер (?), 22:26, 31/07/2018 [^] [^^] [^^^] [ответить]	+/–
Браузер с дополнением Certificate Patrol https addons mozilla org firefox ad... текст свёрнут, показать

5.16, Аноним (16), 14:07, 02/07/2018 [^] [^^] [^^^] [ответить]	+/–
Нет, выдают и на те же самые.

3.24, dep (?), 17:09, 02/07/2018 [^] [^^] [^^^] [ответить]	+/–
Так а почему не можно два получить, в чем здесь нарушение?

3.37, анон (?), 05:14, 04/07/2018 [^] [^^] [^^^] [ответить]	+/–
с чего вдруг. Цепочка доверия сертификатов не означает что кто-то должен контролировать что у домена должен быть только один сертификат. Вы можете иметь несколько сертификатов вполне легально для одно домена.

2.4, Аноним (4), 11:30, 02/07/2018 [^] [^^] [^^^] [ответить]	+2 +/–
При подстановке BGP-маршрутов изменение охватывает только ограниченный сегмент сети, лишь часть пользователей попадает в "альтернативную реальность", а остальных изменение не касается. Слишком низка вероятность чтобы проверочные серверы Let's Encrypt оказались в подменённом сегменте.

3.9, Vitaliy Blats (?), 11:56, 02/07/2018 [^] [^^] [^^^] [ответить]	+2 +/–
> При подстановке BGP-маршрутов изменение охватывает только ограниченный сегмент сети, лишь часть пользователей попадает в "альтернативную реальность", а остальных изменение не касается. > Слишком низка вероятность чтобы проверочные серверы Let's Encrypt оказались в подменённом сегменте. И не нужно. Достаточно DNS-сервера к которому обращается LE для резолвинга.

1.7, Аноним (-), 11:40, 02/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
На кого эта атака расчитана? На пользователей десятки?

2.10, Vitaliy Blats (?), 11:57, 02/07/2018 [^] [^^] [^^^] [ответить]	+/–
> На кого эта атака расчитана? На пользователей десятки? Да, к сожалению расчитывается всегда большинство. Линуксоидам с их 1.5% бояться как всегда нечего, эффект Неуловимого Джо в действии :)

2.14, sabakka (?), 13:25, 02/07/2018 [^] [^^] [^^^] [ответить]	+3 +/–
пользователей пятёрочки.

2.19, Crazy Alex (ok), 15:14, 02/07/2018 [^] [^^] [^^^] [ответить]

+/–

Да уж... С самоподписанным-то сертификатом - забавно, да и только.

Для тех, кто не в курсе:

1) Trezor - это хардварный кошель для криптовалют, такими пользуются те, кто безопасностью парится всерьёз. Очень сомнительно, что такие товарищи поведутся на самоподписанный сертификат.

2) То, что предлагалось сделать (" ввести последовательность для восстановления доступа к кошельку") - это адски форсмажорная штука, которая вообще не делается без десятикратных проверок. Даже без браузерной ругани подобное предложение вылилось бы в разбирательства "что произошло", а не в бездумный ввод кода.

Как итог - это не атака, а какая-то странная пародия.

3.34, mandala (ok), 07:41, 03/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Доверять ключи какому то железу, которое клепает чужой дядя? Ты в своем уме? А если серьезно: значительная часть пользователей приобрела эту хрень по совету/из-за рекламы, не более, и ни черта не шарят в технологиях. так что атака хоть и палевная, но не лишена смысла.

4.36, Аноним (36), 14:22, 03/07/2018 [^] [^^] [^^^] [ответить]	+/–
Была даже история про их конкурентов - ledger. Там левые перекупы на ebay подменяли инструкции и предлагали проинициализировать девайс с их заранее сгенерированным сидом. И ничего, люди велись.

1.13, Аноним (13), 13:01, 02/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ладно хоть не с BFG2000

2.30, Аноне (?), 20:06, 02/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
9000

1.17, xm (ok), 15:10, 02/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Бег по граблям. Но поддержку DANE внедрять по-прежнему никто в браузеры не планирует... Ok, чё.

2.20, Crazy Alex (ok), 15:43, 02/07/2018 [^] [^^] [^^^] [ответить]	–2 +/–
В данном случае тупой запрет самоподписанных сертификатов принёс бы гораздо больше пользы - как, сосбтвенно, для всех случаев, не связанных с домашними сервачками или разработкой. Ну и планируемая letsencrypt проверка из нескольких точек при выдаче сертификата. При этом вообще никакие изменения в инфраструктуре не нужны.

3.21, AnonPlus (?), 16:20, 02/07/2018 [^] [^^] [^^^] [ответить]	+/–
Нереально, дофигаща людей, которые считают, что самоподписанные сертификаты это свобода, letsencrypt это коварный проект ZOG по прослушиванию трафика, а таблеточки, выписанные психиатром для их больной головушки пить не стоит.

4.22, Ivan_83 (ok), 16:43, 02/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Если бы этот самый енкрипт хотя бы в европе был, а то как обычно всё в США. А StartSSL угробили. Если вас не смущает что все IT сервисы в США и что конкурентов из других локаций мочат - вероятно вы мало думаете о следствиях и последствиях, хотя бы в перспективе 5-10 лет.

5.25, Crazy Alex (ok), 17:56, 02/07/2018 [^] [^^] [^^^] [ответить]

+1 +/–

Один нюанс - к данному случаю это никакого отношения не имеет.

А так - нет, не смущает. Для подпольщины есть Tor, i2p, retroshare и куча всего остального. Для дел же легальных и "простого потребителя" никаких проблем в этом нет.

А, ну и ещё я не страдаю паранойей по поводу США.

6.32, Ivan_83 (ok), 20:34, 02/07/2018 [^] [^^] [^^^] [ответить]	+/–
Расскажи это крымчанам, которые внезапно остались вообще без всех сервисов пендостана. Речь не про отдельный сайт/сервис а про политический рычаг влияния, у нас шутят про отключение газа а они выключили инет.

7.33, Аноним (-), 22:28, 02/07/2018 [^] [^^] [^^^] [ответить]	+/–
Отвалились только зонды. Я за блокировку этих сервисов для всего мира, кроме США.

3.23, arisu (ok), 16:52, 02/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
да и вообще адресную строку убрать — давно уже экспериментируют же. но как-то очень несмело. зачем эта вот ерунда с «куда хочешь — туда и ходишь»? очевидно же, что там везде мошенники сидят! неча шастать, ходи куда положено, а больше тебе никуда не надо.

4.26, Crazy Alex (ok), 18:01, 02/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Это звучит не так иронично, как тебе кажется. Для "обычного пользователя" запросто можно убирать - у него один хрен всё с поисковика начинается. А на каждый "чистый" самоподписанный сайт хомяк нарвётся минимум на сотню малварных.

5.27, arisu (ok), 18:10, 02/07/2018 [^] [^^] [^^^] [ответить]	+3 +/–
тут есть, правда, нюанс. сначала «защитим детей от порнографии», а потом роскомцензура. потому что запреты вместо обучения — они только так и работают.

6.31, Аноним (31), 20:11, 02/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
учиться не модно

5.39, Гентушник (ok), 16:55, 04/07/2018 [^] [^^] [^^^] [ответить]	+/–
> у него один хрен всё с поисковика начинается Плюсую. Мильён раз видел как обычные пользователи заходят на почту набирая в яндекс/мейлсру-поиске слово "почта", на строку с адресом мало кто смотрит, а пользуются ей вообще единицы.

6.40, arisu (ok), 17:03, 04/07/2018 [^] [^^] [^^^] [ответить]	+/–
а ещё «обычный пользователь» не пишет на сишечке. поэтому сишечку надо разрешать ставить только после того, как ты глубоко в системе поменял 100500 флажков на «да, я согласен». самое забавное то, что когда это случится — ни перед одним whistleblower'ом никто даже не подумает хотя бы извиниться.

3.28, xm (ok), 18:28, 02/07/2018 [^] [^^] [^^^] [ответить]	+/–
В данном, возможно, бы и хватило. А про будущее надо подумать бы уже теперь (вчера).

3.41, Аноним (41), 22:58, 05/07/2018 [^] [^^] [^^^] [ответить]	+/–
>тупой запрет самоподписанных сертификатов Это тоталитаризм

игнорирование участников | лог модерирования

Добавить комментарий

Текст: