Steakhouse’i postmortem on sündmuste järelanalüüs andnud uut valgust 30. märtsil toimunud turvainsidentile. Rünnaku teostajad võtsid oma valdusse lühikest aega Steakhouse’i domeeni, et pakkuda phishing-veebisaiti, mis paljastas kriitilise nõrga koha välisahela (off-chain) infrastruktuuris, mitte aga ahelasisese (on-chain) süsteemis.
Meeskond kinnitas, et rünnak sai alguse edukast sotsiaalse inseneritöö (social engineering) katsest, mille eesmärgiks oli nende domeeniregistraator OVHcloud. See võimaldas rünnakute teostajal ümberlülitada kahefaktorilise autentimise ja võtta üle DNS-i kirjed.
Sotsiaalne inseneritöö viis täielikku kontotäieliku üle võtmiseni
Aruandes öeldakse, et rünnakute teostaja võttis ühendust registraatori tugiabi-teenusega, tegutses kui kontootsa omanik ja veenis tugiabiagenti eemaldama riistvarapõhise kahefaktorilise autentimise.
Kui juurdepääs oli saadud, tegi rünnakute teostaja kiiresti jada automaatseid tegevusi. Nendeks olid olemasolevate turvakredentsiaalide kustutamine, uute autentimisseadmete registreerimine ning DNS-i kirjete suunamine oma kontrolli all olevasse infrastruktuuri.
See võimaldas kasutada kloonitud Steakhouse’i veebisaiti, milles oli vargusvahend (wallet drainer), ja see oli ligikaudu neli tundi ajutiselt ligipääsetav.
Phishing-vaidlus oli aktiivne, kuid fondid jäid turvalised
Lisaks sündmuse tõsidusele teatas Steakhouse, et kasutajate fondid ei läinud kaduma ja mingit kurja tahtega tehingut ei kinnitatud.
Rikkumine piirdus ainult domeenikihiga. Ahelasiseste varukaitsekohtade (vaults) ja nutikate lepingute (smart contracts), mis töötavad sõltumatult kasutajaliidesest (frontend), peale ei mõjunud. Protokoll rõhutas, et tal puuduvad administraatorivõtmed, mis võimaldaksid juurdepääsu kasutajate sissemaksetele.
MetaMaski ja Phantom’i nagu brauseri rahakotid pakuvad turvakaitsu, mis tuvastas kiiresti phishing-vaidluse, samas kui meeskond avaldas avaliku hoiatuse 30 minuti jooksul pärast sündmuse avastamist.
Postmortem rõhutab tarnija riski ja üheainuslikke nurkade vigu (single points of failure)
Aruanne viitab Steakhouse’i turvaoletuste olulisele puudusele: nad olid sõltunud ühest registraatorist, kelle tugiabi-protsessid võisid üle kirjutada riistvarapõhised kaitsemeetmed.
Kahefaktorilise autentimise keelamine telefonikõne teel ilma tugeva välisahela (out-of-band) kontrollita muutis efektiivselt kredentsiaalide lekkimise täielikuks kontotäielikuks üle võtmiseks.
Steakhouse tunnistas, et seda riski ei hinnatud piisavalt ja nimetas registraatori oma infrastruktuuris „üheainuslikuks nurkade vigaks“ (single point of failure).
Välisahela (off-chain) nõrgad kohad jäävad nõrgaks liigiks
Sündmus rõhutab laiemat probleemi krüptovaluutaturvalisuses – tugevad ahelasisese (on-chain) kaitsemeetmed ei kaota riske ümbritsevas infrastruktuuris.
Kuigi nutikad lepingud ja varukaitsekohad olid turvalised, võimaldas DNS-i kontroll rünnakute teostajal sihtmärkida kasutajaid phishing-meetoditega, mis on kogu ekosüsteemis üha sagedasemaks saamas.
Rünnak kasutas ka tööriistu, mis on kooskõlas „drainer-as-a-service“-teenustega, rõhutades, kuidas rünnakute teostajad jätkavad sotsiaalse inseneritöö kombinatsiooni valmis kasutatavate ekspluateerimiskomplektidega.
Turvauuendused ja järgmised sammud
Sündmuse järel on Steakhouse migreerinud turvalisemasse registraatorisse. See on rakendanud pidevat DNS-i jälgimist, vahetanud kredentsiaale ja alustanud laiemat tarnijate turvapraktikate ülevaadet.
Meeskond on ka sisse juurutanud rangemad kontrollimeetmed domeeni haldamiseks, sealhulgas riistvaravõtmete kasutamise ja registraatori tasemel lukustused.
Lõplik kokkuvõte
- Steakhouse’i postmortem näitab, et registraatori tasemel kahefaktorilise autentimise ümberlülitamine võimaldas DNS-i hijacki, mis pani kasutajad phishing-ohu alla, kuigi ahelasisene süsteem oli turvaline.
- Sündmus rõhutab, kui kriitilised on välisahela (off-chain) infrastruktuur ja tarnijate turvalisus krüptovaluutatekosüsteemides.
Source: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
