Roban MyEtherWallet a través de una vulnerabiliad en DNS

Los usuarios de MyEtherWallet se encontraron con problemas el martes de esta semana. Mientras intentaban conectarse, se toparon con un certificado SSL sin firmar y con el enlace de verificación roto.

El motivo de estos problemas era que unos delincuentes, muy posiblemente rusos, habrían encontrado vulnerabilidades en los servidores DNS utilizados por MyEtherWallet, en lugar de explotar el servicio de intercambio de Ethereum en sí.

Los atacantes secuestraron los servidores de DNS a mediodía del horario UTC para luego redirigir el tráfico a un servidor en Rusia que replicaba el sitio web. La explotación del fallo de seguridad se produjo mediante el protocolo BGP/Border Gateway, que es el sistema encargado de redirigir el tráfico al sitio web. Esto quiere decir que los usuarios fueron víctimas de un ataque de phishing al estar accediendo a otro sitio web que suplantaba al legítimo. Para llevarlo a cabo se cree que los hackers han utilizado los servicios de DNS de Amazon, cuyo nombre es Route 53. Sin embargo, Amazon niega que sus DNS hayan sido comprometidas, explicando que "un proveedor de servicios de Internet se vio comprometido por un actor malintencionado que luego utilizó ese proveedor para anunciar un subconjunto de direcciones IP de Route 53 a otras redes con las que este ISP estaba emparejado".

Los delincuentes consiguieron hacerse con 215 Ethereum durante las dos horas en las que el tráfico de la web estuvo redirigida mediante el ataque de phishing, que al cambio resultan ser unos 152.000 dólares. Según el investigador en seguridad Kevin Beaumont, los atacantes tenían millones de dólares en Ethereum en sus carteras digitales antes de empezar el ataque, por lo que cree que esta ha podido ser una operación a gran escala y llevada a cabo con buenos recursos desde el punto de vista técnico-informático, algo que podría hacer pensar que MyEtherWallet no era el único objetivo.

Fuente: Cyberscoop y The Verge