Door overgenomen nameservers hebben gisteren en vandaag duizenden Nederlandse websites, waaronder die van Conrad en het Nederlands Dagblad, bezoekers naar websites doorgestuurd die malware probeerden te installeren. Dat laat het Nationaal Cyber Security Center weten. De websites wezen naar een lege webpagina met als titel in het tabblad van de de browser 'Site under construction'.
Volgens het Delftse beveiligingsbedrijf Fox-IT zijn drie webhosters slachtoffer van de DNS-kaping geworden, waaronder Digitalus, VDX en Webstekker. Op de getoonde website was de Blackhole exploit-kit actief, die bezoekers met een verouderde versie van Adobe Reader en Java met malware infecteerde.
Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de aanpassing van de nameservers konden de aanvallers daardoor de websites naar een ander IP-adres laten wijzen.
In een verklaring stelt de Stichting Internet Domeinregistratie Nederland (SIDN), de partij die domeinnamen voor het .nl top level domain uitgeeft, dat gisteren de klantwebsites van een van de registrars enige tijd onbereikbaar zijn geweest. "Oorzaak was dat via het account van de registrar 's nachts de nameservers waren gewijzigd van die registrar waarnaar het DNS verwijst."
De registrar heeft na de ontdekking de wijzigingen gecorrigeerd, waarna contact is opgenomen met SIDN en nader onderzoek is gestart.
Webhoster Digitalus laat weten dat gisteren de zone van de nameservers binnen het DRS-systeem van SIDN door derden is voorzien van externe nameservers. Hierdoor kwamen alle DNS verzoeken niet bij het hostingbedrijf uit, maar bij de nameservers van de aanvallers. Hierdoor raakten enkele klanten geïnfecteerd met malware.
"We hebben geconcludeerd dat enkele van onze klanten besmet zijn met het 'Blackhole rootkit'. Dit kan voortgekomen zijn uit de DNS problemen die we hebben gehad. We adviseren u daarom uw computer te controleren en het eventueel aanwezig 'Blackhole rootkit' te verwijderen", aldus de hoster in een verklaring. Zoals een lezer hieronder terecht opmerkt bestaat de 'Blackhole rootkit' niet. Voor het infecteren van gebruikers werd de Blackhole exploit-kit gebruikt, die vervolgens de Andromeda-malware op kwetsbare computers installeerde, zo laat Erik Loman van SurfRight tegenover Security.NL weten.
Daarnaast heeft de DNS-kaping ook gevolgen voor klanten die Google Adwords gebruikten om te adverteren. "Door de DNS problemen die wij hebben ervaren is het mogelijk dat uw Adwords campagnes tijdelijk door het Malwarebeleid van Google zijn onderbroken", stelt Digitalus. In dit geval moeten gebruikers bij Google een verzoek indienen om de Adwordscampagne opnieuw te activeren.
Webstekker verklaart dat de berichtgeving dat alle domeinen in de DNS naar malware wijzen niet correct is. "Wij willen graag mededelen dat dit niet waar is. Dit bericht zou zijn ontstaan, doordat Conrad in combinatie gebracht wordt met Webstekker. Echter heeft Conrad enkel een IP-adres van Webstekker en bevindt zij zich niet binnen het DNS van Webstekker, maar van een collega provider VDX. Met de DNS van Webstekker is niets aan de hand en Webstekker vindt het dan ook vervelend dat dit bericht onterecht in de wereld is gekomen."
Volgens VDX zijn de aanpassingen snel na de ontdekking hersteld, maar is het gevolg minder snel op te lossen. "De onbekende nameservers hebben op alle DNS verzoeken een standaard zone gegeven met als doel alle website bezoeken door te zetten naar een website met daarop Malware. Elke zone is hierbij voorzien van een DNS Time To Live van 24 uur. Dit heeft als effect dat veel Internet Service Providers deze foutieve DNS zone tot 24 uur vasthouden en blijven serveren."
Update: uitleg over Blackhole exploit-kit toegevoegd
Deze posting is gelocked. Reageren is niet meer mogelijk.