Securitybedrijf Fox-IT is in september het doelwit van een man-in-the-middle-aanval geworden waarbij een aanvaller de dns-instellingen van Fox-it.com aanpaste en zo informatie en bestanden onderschepte, alsmede e-mails. Dat heeft het bedrijf vandaag zelf bekendgemaakt.
De aanval vond plaats op 19 september van dit jaar, waarbij een aanvaller via de domeinregistrar van Fox-IT de dns-instellingen van Fox-it.com wist aan te passen. Dns (domain name system) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. De aanvaller wijzigde het dns-record van een server en liet die naar een server wijzen die onder zijn controle stond om zo verkeer te onderscheppen. De aanval was gericht op het klantenportaal van Fox-IT dat wordt gebruikt voor het uitwisselen van bestanden met klanten, leveranciers en andere organisaties.
Gedurende een periode van 10 uur en 24 minuten kon de aanvaller informatie en bestanden onderscheppen. Het ging onder andere om de inloggegevens van negen personen en twaalf bestanden. Drie van deze bestanden waren vertrouwelijk van aard. Het gaat echter niet om staatsgeheimen, aangezien die niet via het klantenportaal worden uitgewisseld, aldus het securitybedrijf. Andere onderschepte documenten bevonden zich al in het publieke domein.
Tevens werd een mobiel telefoonnummer onderschept, alsmede een verzameling namen en e-mailadressen van gebruikers van het klantenportaal en accountnamen binnen het portaal. De aanvaller wist ook tien minuten lang e-mail van Fox-IT te onderscheppen. "Aangezien e-maildistributie gedecentraliseerd is op het internet, weten we niet welke e-mails de aanvaller gedurende deze periode heeft onderschept", laat Fox-IT weten. Door het onderscheppen van de e-mail kon de aanvaller aantonen dat hij eigenaar van het Fox-it.com-domein was en zo een ssl-certificaat voor het klantenportaal aanvragen. Daarmee werd de uiteindelijk man-in-the-middle-aanval uitgevoerd.
Het securitybedrijf stelt dat de aanvaller met geldige inloggegevens op het beheerderspaneel van de dns-instellingen heeft ingelogd. Hoe de aanvaller deze inloggegevens in handen wist te krijgen is nog niet duidelijk. Gebaseerd op de onderzoeken van de politie en Fox-IT is er "sterk bewijs" dat de aanvaller de inloggegevens via een gecompromitteerde derde partij heeft verkregen. Het onderzoek is nog gaande.
Een mogelijke factor die de aanvaller heeft geholpen is dat het wachtwoord sinds 2013 niet is gewijzigd. De reden dat het wachtwoord al die jaren niet is veranderd, is dat de dns-instellingen nauwelijks worden gewijzigd, aldus de verklaring van Fox-IT. Het bedrijf erkent dat dit beter kan. Verder blijkt dat de gebruikte dns-provider geen tweefactorauthenticatie ondersteunt. De aanvaller had zodoende genoeg aan alleen een wachtwoord en gebruikersnaam om in te loggen. In de analyse van de aanval doet Fox-IT ook verschillende aanbevelingen en laat weten welke lessen het heeft geleerd. Alle organisaties en personen van wie is vastgesteld dat er informatie is onderschept zijn inmiddels ingelicht.
Deze posting is gelocked. Reageren is niet meer mogelijk.