亚马逊再遭BGP劫持攻击，3小时失控IP池致23.5万美元损失

作者：Tomasz Turba | 2022年10月28日更新：2022年11月14日 | 分类：教育、研究

上月，亚马逊对其云IP地址池失去控制长达三个多小时，导致网络犯罪分子从AWS某客户处窃取23.5万美元。通过BGP劫持，黑客控制了256个IP地址池。简而言之，BGP协议是互联网运行的骨干基础，它在自治系统（AS）间提供路由，基于通告的路由选择最佳路径到达目的地。

技术分析显示，属于英国运营商quickhost.uk的AS209243突然开始通告其基础设施为访问AS16509（亚马逊管理的三个AS号之一）24位IP地址块的正确路径。疑似托管运营商Quick Host也是此次攻击的受害者而非攻击者。被劫持的地址块包含正确IP地址44.235.216.69，解析至cbridge-prod2.celer.network。该子域名负责为Celer加密货币提供用户智能合约界面服务。智能合约是一种用于自动化验证数字合约或合约内部条款所引发重大事件的软件或协议，本案中即加密货币兑换交易。

8月17日，攻击者从拉脱维亚的GoGetSSL证书颁发机构（CA）获取了上述子域名的TLS证书，因其能证明控制cbridge-prod2.celer.network域名。可能通过利用该服务器上的其他漏洞或DNS服务器（常通过添加特定TXT记录验证域名控制权）实现。

图1. 被替换虚假智能合约地址的cBridge配置片段

持有证书后，黑客托管了针对受害者的恶意智能合约，等待访问正确加密货币兑换站点cBridge的用户。恶意智能合约在3小时内从32个受害账户窃取234,866.65美元。

图2. 被截获的证书

通过crt.sh网站验证证书ID，可确认获取日期及与Celer网络相关的IP地址分配。证书和地址追踪可通过Censys平台观测（图3）。

图3. 证书与Celer地址关联

可见第二个证书关联的IP地址与Celer网络分配地址不匹配，表明短期替换期间，Censys等工具或搜索引擎无法收集最新路由信息。但我们知道44.235.216.69从一开始就关联cbridge-prod2.celer.network域名，故非潜在问题（图4）。

图4. IP地址与Amazon.com Inc组织关联的历史日志

为解决该问题，使用BGP路由图工具（如Hurricane Electric运营商）或是佳选。

图5. AS16509号描述

AS信息栏显示，亚马逊的AS号广播了所谓的bogons——不属于所选AS的虚假IP地址（图6）。

图6. HE工具显示亚马逊AS号广播bogons

SlowMist研究团队联系Celer网络管理员后，从日志获取攻击者IP地址：54[.]84[.]236[.]100。该地址关联AS14618号，同时也在广播虚假bogons！

图7. HE工具确认攻击者发送虚假地址

观察恶意AS号的路由传播，确认AS14618（恶意）的IP通告路径经AS16509（亚马逊）。由此可确认BGP劫持（图8）。

图8. BGP劫持确认

基于通信双方的AS号和IP地址，通过BGP更新，研究人员观察到2022年8月18日CST时间2:48至7:48间大量路由表交换（图9）。

图9. 观测到的BGP拓扑变化

BGP劫持期间，网络罪犯尝试撤销正确AS号路由，通过设置撤销标志替换为自身路由。浏览BGP Play记录可见此过程（图10）。

图10. 确认AS路由变更记录，导致AS16509（亚马逊）3小时流量排除

上述分析表明，攻击者从一开始就准备周全——时机把握、证书替换、IP地址就绪及等待BGP路由传播。但罪犯也需靠运气，事实上确实发生。以太坊网络中，一笔虚假智能合约交易高达15.6万美元，超过32笔交易总失窃金额的一半。

图11. 3小时BGP劫持攻击中32笔交易损失表

来源：
https://arstechnica.com/information-technology/2022/09/how-3-hours-of-inaction-from-amazon-cost-cryptocurrency-holders-235000
https://medium.com/coinmonks/truth-behind-the-celer-network-cbridge-cross-chain-bridge-incident-bgp-hijacking-52556227e940
https://www.coinbase.com/blog/celer-bridge-incident-analysis

作者：Tomasz Turba | 标签：bgp