De aanvallers die vorige week de DNS van de domeinen van beveiligingsbedrijf Rapid7 wisten aan te passen hebben hiervoor geen faxbericht gebruikt zoals eerst werd gemeld. Rapid7 was één van de bedrijven waarvan de DNS werd aangepast, zodat de website naar een ander IP-adres wees.

Ook de DNS van LeaseWeb, WhatsApp, Avira, AVG, ESET en Bitdefender werd gekaapt. Daardoor kwamen bezoekers van de domeinen op een andere website uit waar een politieke boodschap was geplaatst. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen.

Faxbericht

Rapid7 is de aanbieder en ontwikkelaar van Metasploit, een populaire toolkit voor security professionals en penetratietesters om de veiligheid van systemen en netwerken te testen. Naast Rapid7.com wees ook Metasploit.com naar een ander IP-adres. Volgens H.D. Moore, de bedenker van Metasploit, hadden de aanvallers de DNS gewijzigd door een fax naar de registrar te sturen waar de domeinnamen geregistreerd waren.

De registrar zou dit wijzigingsverzoek vervolgens hebben uitgevoerd. Het beveiligingsbedrijf laat nu weten dat die informatie niet klopt. Volgens Register.com, de partij die voor de DNS van Metasploit.com en Rapid7.com verantwoordelijk is, is de aanval niet via een faxbericht uitgevoerd.

"Het is waarschijnlijker dat de aanvaller social engineering gebruikte, wat uiteindelijk resulteerde in de gestolen inloggegevens van een Register.com werknemer", stelt Patrick Hellen van Rapid7. Zodra er meer details over de aanval bekend zijn zal Hellen die delen.