De hack waarbij DNS-verkeer is gekaapt om websitebezoekers naar malware te leiden, is uitgevoerd via een geldig account bij SIDN. Zo kon de wijziging voor DNS-servers bij die beheerder ongemerkt worden doorgevoerd.

De Stichting Internet Domeinregistratie Nederland (SIDN) antwoordt op vragen van Webwereld over de DNS-serverhack. Daarbij zijn bezoekers van enkele duizenden websites omgeleid naar sites waar een blanco pagina met stiekeme drive-by malware klaarstond. De legitieme domeinnamen wezen door naar de IP-adressen van die kwaadaardige pagina's.

Geen directe relatie met SIDN-hack

De DNS-kapers stelden deze omleiding in via de SIDN, die vorige maand zelf is gehackt. De inbrekers van toen plaatsten malware op de portal voor domeinregistrars, waardoor ze ook naar binnen waren gekomen.

De domeinkaping van afgelopen maandagochtend is ingesteld in het daaraan gerelateerde het Domein Registratie Systeem (DRS) van SIDN. Daar voegden de daders eigen externe nameservers toe aan de DNS-zone van een registrar.

De SIDN ontkent nu tegenover Webwereld dat er een relatie is dus deze twee hacks. "De inbraak vorige maand vond plaats op een ander systeem. De inloggegevens van beide systemen staan geheel los van elkaar", antwoordt de stichting. Het lijkt er dus niet op dat de DNS-omleiders de benodigde log-in direct hebben verkregen met de SIDN-inbraak.

Geldig account en autorisatie

De inloggegevens die zijn gebruikt voor de DNS-omleiding waren een geldig account, vertelt de SIDN. Dat account was ook geautoriseerd voor de wijzigingen die zijn doorgevoerd. De stichting geeft deze informatie in antwoord op de vraag of de daders hebben ingelogd met gegevens van de bewuste registrar of dat ze hebben gehackt om te kunnen inloggen.

Het is nog niet bekend hoe de inbrekers aan de geldige inloggegevens zijn gekomen. In theorie kunnen ze die hebben gestolen bij een inbraak bij de registrar. De SIDN verwijst hiervoor door naar die registrar, waarvan het de naam niet noemt. Wel laat de stichting nog los dat de wijziging is gedaan vanaf een ander IP-adres dan normaal gebruikt door de registrar in kwestie.

Nog in onderzoek

De registrar waar het fout is gegaan zit in ieder geval in de hoek van Digitalus, VDX en Webstekker. Hoster Digitalus heeft al aan Webwereld laten weten dat de zaak nog in onderzoek is. Zelf doet het onderzoek (ondersteund door SIDN), maar het heeft er ook een extern securitybedrijf voor in de arm genomen. De identiteit daarvan wordt nog niet onthuld: "De NDA's worden nog getekend", vertelt CEO Sebastiaan de Koning van IT-Ernity, waar Digitalus onder valt.

"Het zou kunnen dat de fout bij ons ligt, maar het is nu absoluut nog te vroeg om dat te kunnen stellen." De Koning vertelt nog dat het bedrijf nu wel een splitsing doorvoert tussen de registrarhandelingen voor commerciële domeinen (van de eigen klanten) en voor de eigen domeinen (zoals dus de DNS-server).

Webwereld

Published On: 07-08-13|Categories: nieuws|

Deel dit bericht