Steakhouse की पोस्टमॉर्टम रिपोर्ट ने 30 मार्च की सुरक्षा घटना पर नई रोशनी डाली है। हमलावरों ने इसके डोमेन को संक्षिप्त रूप से हाईजैक कर एक फिशिंग साइट चलाई, जिससे ऑन-चेन सिस्टम के बजाय ऑफ-चेन इंफ्रास्ट्रक्चर में एक गंभीर कमजोरी उजागर हुई।
टीम ने पुष्टि की कि हमला इसके डोमेन रजिस्ट्रार, OVHcloud को लक्षित करते हुए एक सफल सोशल इंजीनियरिंग प्रयास से उत्पन्न हुआ। इससे हमलावर को टू-फैक्टर ऑथेंटिकेशन को बायपास करने और DNS रिकॉर्ड्स पर नियंत्रण लेने में मदद मिली।
सोशल इंजीनियरिंग ने पूर्ण अकाउंट टेकओवर का कारण बना
रिपोर्ट के अनुसार, हमलावर ने रजिस्ट्रार के सपोर्ट डेस्क से संपर्क किया, अकाउंट मालिक का रूप धारण किया, और एक सपोर्ट एजेंट को हार्डवेयर-आधारित टू-फैक्टर ऑथेंटिकेशन को हटाने के लिए मना लिया।
एक बार एक्सेस मिलने के बाद, हमलावर ने तेजी से स्वचालित कार्रवाइयों की एक श्रृंखला को अंजाम दिया। इसमें मौजूदा सुरक्षा क्रेडेंशियल्स को डिलीट करना, नए ऑथेंटिकेशन डिवाइस को नामांकित करना, और DNS रिकॉर्ड्स को उनके नियंत्रण वाले इंफ्रास्ट्रक्चर में रीडायरेक्ट करना शामिल था।
इससे एक क्लोन की गई Steakhouse वेबसाइट की तैनाती संभव हुई जिसमें वॉलेट ड्रेनर एम्बेडेड था, जो लगभग चार घंटे तक रुक-रुक कर सुलभ रहा।
फिशिंग साइट सक्रिय थी, लेकिन फंड सुरक्षित रहे
उल्लंघन की गंभीरता के बावजूद, Steakhouse ने कहा कि कोई यूजर फंड खोया नहीं गया और किसी दुर्भावनापूर्ण लेनदेन की पुष्टि नहीं हुई।
समझौता केवल डोमेन लेयर तक सीमित था। ऑन-चेन वॉल्ट्स और स्मार्ट कॉन्ट्रैक्ट्स, जो फ्रंटएंड से स्वतंत्र रूप से संचालित होते हैं, प्रभावित नहीं हुए। प्रोटोकॉल ने जोर दिया कि इसके पास कोई एडमिन कीज़ नहीं हैं जो यूजर डिपॉजिट तक पहुंच सकें।
MetaMask और Phantom जैसे प्रदाताओं से ब्राउज़र वॉलेट सुरक्षा ने शीघ्र ही फिशिंग साइट को फ्लैग कर दिया, जबकि टीम ने घटना का पता लगने के 30 मिनट के भीतर सार्वजनिक चेतावनी जारी की।
पोस्टमॉर्टम वेंडर जोखिम और सिंगल पॉइंट ऑफ फेल्योर को उजागर करता है
रिपोर्ट Steakhouse की सुरक्षा मान्यताओं में एक प्रमुख विफलता की ओर इशारा करती है: एकल रजिस्ट्रार पर निर्भरता जिसकी सपोर्ट प्रक्रियाएं हार्डवेयर-आधारित सुरक्षा को ओवरराइड कर सकती थीं।
बिना मजबूत आउट-ऑफ-बैंड सत्यापन के फोन कॉल के माध्यम से टू-फैक्टर ऑथेंटिकेशन को अक्षम करने की क्षमता ने प्रभावी रूप से एक क्रेडेंशियल लीक को पूर्ण अकाउंट टेकओवर में बदल दिया।
Steakhouse ने स्वीकार किया कि उसने इस जोखिम का पर्याप्त रूप से आकलन नहीं किया था, रजिस्ट्रार को अपने इंफ्रास्ट्रक्चर में "सिंगल पॉइंट ऑफ फेल्योर" के रूप में वर्णित किया।
ऑफ-चेन कमजोरियां कमजोर कड़ी बनी रहती हैं
यह घटना क्रिप्टो सुरक्षा में एक व्यापक मुद्दे को रेखांकित करती है — कि मजबूत ऑन-चेन सुरक्षा आसपास के इंफ्रास्ट्रक्चर में जोखिमों को समाप्त नहीं करती है।
जबकि स्मार्ट कॉन्ट्रैक्ट्स और वॉल्ट्स सुरक्षित रहे, DNS पर नियंत्रण ने हमलावर को फिशिंग के माध्यम से यूजर्स को लक्षित करने की अनुमति दी, जो इकोसिस्टम में तेजी से सामान्य होती जा रही विधि है।
हमले में "ड्रेनर-एज़-ए-सर्विस" ऑपरेशंस के अनुरूप टूल्स भी शामिल थे, जो यह दर्शाता है कि कैसे हमलावर सोशल इंजीनियरिंग को तैयार एक्सप्लॉइट किट्स के साथ संयोजित करना जारी रखते हैं।
सुरक्षा अपग्रेड और अगले कदम
घटना के बाद, Steakhouse एक अधिक सुरक्षित रजिस्ट्रार में माइग्रेट हो गया है। इसने निरंतर DNS निगरानी लागू की, क्रेडेंशियल्स को रोटेट किया, और वेंडर सुरक्षा प्रथाओं की व्यापक समीक्षा शुरू की।
टीम ने डोमेन प्रबंधन के लिए सख्त नियंत्रण भी पेश किए, जिसमें हार्डवेयर की प्रवर्तन और रजिस्ट्रार-स्तर के लॉक शामिल हैं।
अंतिम सारांश
- Steakhouse की पोस्टमॉर्टम से पता चलता है कि रजिस्ट्रार-स्तर के 2FA बायपास ने DNS हाईजैक को सक्षम किया, सुरक्षित ऑन-चेन सिस्टम के बावजूद यूजर्स को फिशिंग के लिए उजागर किया।
- घटना इस बात को उजागर करती है कि क्रिप्टो इकोसिस्टम में ऑफ-चेन इंफ्रास्ट्रक्चर और वेंडर सुरक्षा महत्वपूर्ण कमजोरियां कैसे बनी रहती हैं।
स्रोत: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
