"We hebben een malware-sample ontvangen", vertelt NCSC-woordvoerster Mary-Jo van de Velde aan Webwereld. Zij zegt dat "18.000 IP-adressen mogelijk zijn blootgesteld aan malware". Dit betreft dus - in tegenstelling tot wat dit bericht aanvankelijk vermeldde - de duizenden websites waarvan het verkeer is omgeleid naar malwareserverende sites. Het is nog onbekend hoeveel bezoekers van die legitieme sites via de omleiding naar malware zijn gevoerd.

Nederland, België

Het is ook niet bekend of dit alleen Nederlandse gebruikers zijn. Naast het Nederlandse domein van webwinkel Conrad is ook diens Belgische site geraakt door de malafide omleiding van verkeer. "Door het probleem met de DNS-server bij onze provider kan het zijn dat uw browser is doorgestuurd naar een andere website toen u Conrad.nl of Conrad.be wilde bezoeken", schreef directeur Frank de Groot al in een brief aan zijn klanten.

Het hacken van DNS-instellingen voor providers en hosters is een relatief nieuwe en vooral effectieve manier om malware te verspreiden. Cybercriminelen benutten tegenwoordig wel meer alternatieve middelen voor de verspreiding van hun kwaadaardige software.


Die webwinkel is niet de enige die is geraakt door de sluwe omleiding waarbij legitieme domeinnamen ineens uitkwamen op IP-adressen die malware bezorgden. Dit hebben de daders gedaan door externe nameservers toe te voegen aan de DNS-zone van hosters Digitalus, VDX en Webstekker. Bezoekers van gewone sites kregen hierdoor een blanco 'Under construction'-pagina te zien, maar die bevatte een iFrame waarlangs malware werd geserveerd.

Het Nederlandse securitybedrijf Fox-IT heeft de DNS-serverhack geanalyseerd:

Via: de analyse van Fox-IT.

Java- en PDF-gaten

Deze massale distributie van malware gebeurde via een IP-adres (178.33.22.5) in Ierland. De kwaadaardige software zelf, exploitkit Blackhole, werd aangeboden vanaf een IP-adres (199.233.237.211) van hoster QuickPacket in de Amerikaanse staat Nevada. De Blackhole-toolkit probeert dan binnen te komen op de pc's van websitebezoekers door gaten te gebruiken in Java en in Adobe's gratis PDF-reader.

Het is mogelijk dat niet alle computers achter de 18.000 blootgestelde IP-adressen deze software hebben draaien. Het is dus niet zeker of al die systemen zijn besmet. Toch raden getroffen bedrijven als Conrad en hoster Digitalus aan om pc's te scannen met virusscanners, zoals het gratis Avira of Kaspersky. Fox-IT geeft onder de analyse-blogpost gedetailleerde instructies hoe een eventuele besmetting op te sporen en te verwijderen.

ISP's op de hoogte gesteld

De internetproviders waar de 18.000 IP-adressen toe behoren, zijn op de hoogte gesteld door het NCSC. Van de Velde stelt dat de high-profile providers hieronder zijn geïnformeerd. Dit zijn dan die ISP's waar de meeste IP-adressen zitten van de lading die mogelijk is besmet. Verder heeft het NCSC de politie en het SIDN ingelicht en met elkaar in contact gebracht. Zij onderzoeken de zaak nu verder.

Update:

Het NCSC stelt bij navraag door Webwereld dat het om IP-adressen voor domeinen gaat, dus de websites waarvan het bezoek via een DNS-serverhack is omgeleid naar sites waar malware klaarstond.