MyEtherWallet wurde durch einen Domain Name Service (DNS) – Hack angegriffen. Dieser leitete die Benutzer auf eine Phishing-Seite weiter.
Über eine Google-DNS-Serverweiterleitung, die Benutzer auf eine Phishing-Seite führte, konnten Angreifer aktuell 215 Ether erbeuten. Das sind sind umgerechnet 115.000 Euro. User der App MyEtherWallet berichteten, dass sie beim Login ein unsigniertes Zertifikat verwendet haben. Die Nutzer hat man dann zu einem russischen Server weitergeleitet. Die vorhandenen Ether haben die Cyberkriminellen dann an einen anderen Account transferiert, berichtet The Verge.
Benutzer von MyEtherWallet ausgetrickst
Der Hack ist zwischen 11.00 Uhr und 13.00 Uhr UTC gestern (7.00 Uhr bis 09.00 Uhr ET) aufgetreten und das Team von MyEtherWallet bemerkte, dass „die Mehrheit der Betroffenen einen Google DNS-Server nutzten“, wie sie in einem Tweet vermerkten. Man zeigte den Benutzern eine SSL-Warnung angezeigt. Diese haben viele User jedoch ignoriert. Sie besuchten die Webseite trotz Warnhinweis. Die Phishing-Webseite, die Benutzer für MyEtherWallet hielten, konnte so die privaten Schlüssel der Ether-Adressen stehlen.
Für den Angriff wurde eine Sicherheitslücke des im Internet eingesetzten Routingprotokolls Border Gateway Protocol (BGP) benutzt, das autonome Systeme (AS) miteinander verbindet. Diese autonomen Systeme bilden in der Regel Internetdienstanbieter. Offenbar erlangten die Hacker Zugriff auf Server eines Internetproviders, worüber sie die falschen Weiterleitungen an Route 53, einem Amazon Web Service, weitergaben. Diese Ergebnisse wurden auch von den Google DNS-Servern genutzt, den die meisten betroffenen User verwendet haben. Der Angreifer leitete den Verkehr auf seine eigene DNS um und die Nutzer damit auf eine gefälschte Website. Die genaue Beschreibung des Angriffs findet man in einer Veröffentlichung von Cloudflare.
Angriff zeigt, wie anfällig das Internet ist
Sicherheitsforscher Kevin Beaumont meint in einem Beitrag, es wäre sehr ungewöhnlich, dass sowohl BGP, als auch DNS-Schwachstellen gemeinsam genutzt werden. Insbesondere bei einem so hochkarätigen Diebstahl wie bei MyEtherWallet. „Dies ist der größte Angriff, den ich je gesehen habe und der beides vereint und er unterstreicht die Fragilität der Internetsicherheit.“ Kevin Beaumont berichtet, dass es sich bei Amazon tatsächlich um den Internet-Domain-Service von Google handelte,. Diesen hätten die Kriminellen bei dem Angriff ins Visier genommen. Die Hacker leiteten den DNS-Verkehr für mehr als zwei Stunden um. In einer Stellungnahme betonte ein Vertreter von Amazon Web Services, dass niemand das eigene DNS-System des Dienstes kompromittiert hat. „Weder AWS noch Amazon Route 53 hat jemand gehackt oder kompromittiert“.
MyEtherWallet bestätigte den Angriff mit einer Aussage auf Reddit: „Wir prüfen derzeit, auf welche Server gezielt zugegriffen wurde, um dieses Problem so schnell wie möglich zu beheben“, teilte das Unternehmen den Nutzern mit. „Wir empfehlen Benutzern, eine lokale (Offline-) Kopie der MyEtherWallet zu machen.“
16 Millionen Dollar Beute
Die gestohlenen Ether haben die Unbekannten nach der Transaktion auf das fremde Konto in immer kleiner werdenden Anteilen auf andere Konten transferiert. Folgt man der Ether-Adresse, die die 215 gestohlenen Ether enthält, gelangt man zu einer Adresse, auf der über 16 Millionen US Dollar in Ether liegen. Die digitale Brieftasche der Angreifer ist somit prall gefüllt.
Um sich vor Angriffen dieser Art zu schützen, empfehlen Sicherheitsforscher, immer sicherzustellen, dass das SSL-Zertifikat grün ist. Ist das Zertifikat rot und durchgestrichen, handelt es sich um eine kompromittierte Website. Zudem sollte man MyEtherWallet lokal auf dem Computer installieren und von dort ausführen.