Utilizan las DNS de Amazon para robar 152.000 dólares en Ethereum

Los usuarios de MyEtherWallet se encontraron con problemas el martes de esta semana. Mientras intentaban conectarse, se toparon con un certificado SSL sin firmar y con el enlace de verificación roto.

El motivo de estos problemas era que unos hackers, muy posiblemente rusos, habrían encontrado vulnerabilidades en los servidores DNS utilizados por MyEtherWallet, en lugar de explotar el servicio de intercambio de Ethereum en sí. Para los que anden perdidos, DNS es el servicio que conecta los nombres de dominio como myetherwallet.com a la IP en la que está almacenado.

Los hackers secuestraron los servidores de DNS a mediodía del horario UTC para luego redirigir el tráfico a un servidor en Rusia que replicaba el sitio web. La explotación del fallo de seguridad se produjo mediante el Protocolo de Puerta de Enlace de Frontera (BGP/Border Gateway Protocol), que es el sistema encargado de redirigir el tráfico al sitio web. Esto quiere decir que los usuarios fueron víctimas de un ataque de phishing al estar accediendo a otro sitio web que suplantaba al legítimo. Para llevarlo a cabo se cree que los hackers han utilizado los servicios de DNS de Amazon, cuyo nombre es Route 53. Sin embargo, Amazon niega que sus DNS hayan sido comprometidas, explicando que “un proveedor de servicios de Internet se vio comprometido por un actor malintencionado que luego utilizó ese proveedor para anunciar un subconjunto de direcciones IP de Route 53 a otras redes con las que este ISP estaba emparejado.”

Los hackers consiguieron hacerse con 215 Ethereum durante las dos horas en las que el tráfico de la web estuvo redirigida mediante el ataque de phishing, que al cambio resultan ser unos 152.000 dólares. Según el investigador en seguridad Kevin Beaumont, los atacantes tenían millones de dólares en Ethereum en sus carteras digitales antes de empezar el ataque, por lo que cree que esta ha podido ser una operación a gran escala y llevada a cabo con buenos recursos desde el punto de vista técnico-informático, algo que podría hacer pensar que MyEtherWallet no era el único objetivo.

En MuySeguridad hemos comentado en muchas ocasiones que las criptodivisas se han convertido en algo muy codiciado por los cibercriminales, ya sea empleando mineros maliciosos o bien robando directamente. Para evitar situaciones como la mencionada en esta noticia, recomendamos seguir los consejos que publicamos recientemente sobre cómo mantener seguras las criptodivisas.

Fuente: Cyberscoop y The Verge