Durante dos horas, el tráfico de Internet hacia la nube de Amazon fue secuestrado por unos atacantes por ahora desconocidos.

Desde las 13:00 del 23 de abril, hora de Madrid, hasta aproximadamente las 15:00 del mismo día muchos usuarios tuvimos problemas para acceder a la red de Amazon.

No solo la tienda estaba inaccesible, sino también todas las webs que usaban los servicios de Amazon para alojar sus páginas. Este problema parecía limitado a usuarios de las DNS de Google; así que en un principio parecía que eran problemas de Google de algún tipo.

El tráfico de Internet hacia la nube de Amazon es secuestrado

Sin embargo, ahora el investigador de seguridad Kevin Beaumont ha revelado que durante esas dos horas todo el tráfico global de Amazon fue redirigido a otros servidores. Unos atacantes, cuya identidad por ahora no se conoce, consiguieron secuestrar el tráfico de DNS para engañar a los usuarios que intentaban visitar algunas páginas.

Cuando escribimos una dirección en nuestro navegador, realmente este no sabe con quién se debería conectar para mostrar la página; así que se conecta a un servidor DNS, que resuelve el nombre y le devuelve una dirección IP a la que el navegador se puede conectar.

amazon dns 2

Los atacantes consiguieron redirigir este tráfico DNS, usando un centro de datos de Equinix en Chicago; para ello usaron BGP, un protocolo para enrutar el tráfico por Internet. En concreto, consiguieron redirigir el tráfico que iba a Route 53, el servicio web DNS en la nube de Amazon.

Controlando este servidor, iniciaron un ataque “man-in-the-middle” (hombre en el medio); es decir, registraban todas las conexiones a los dominios de la nube de Amazon, insertando cambios que llevaban a los usuarios a unas páginas diferentes de las que realmente querían.

Esto ocurrió durante dos horas, aunque no se sabe el verdadero alcance de este ataque.

Qué web o webs fueron afectadas

Por el momento, la única web cuyo tráfico fue redirigido es MyEtherWallet.com, una página de criptomonedas; los usuarios que se conectaron a esta página en realidad fueron redirigidos a una versión falsa alojada en Rusia. De esta manera, los atacantes consiguieron robar criptomonedas de una cantidad limitada de usuarios; la cantidad robada es pequeña, sobre todo comparada con la que ya tenían los atacantes en su cartera virtual.

myetherwallet

Los misterios de este ataque aún no se han resuelto. No está claro si esa web fue la única víctima. ¿Para qué un ataque de semejante escala sólo para robar criptomonedas de una web? Sería muy raro que un atacante obtuviese control sobre semejante cantidad de tráfico con una meta tan irrisoria.

¿Qué hay detrás de este ataque?

Por otra parte, hay pistas de que este podría haber sido un trabajo de novatos. No consiguieron un certificado SSL en su ataque, así que los usuarios de MyEtherWallet.com vieron claramente cómo su navegador les avisaba de que la página podría ser sospechosa.

amazon route 53

Amazon aún no ha realizado ninguna declaración al respecto. Tampoco sabemos si Google decidió eliminar las direcciones de los servicios de Amazon en respuesta, o si fue fruto del ataque. Muchos misterios para un evento que dará mucho que hablar.

Noticias relacionadas