De kwaadaardige redirect voor bezoek aan legitieme Nederlandse websites heeft geen honderden maar duizenden sites geraakt. Door een hack van DNS-servers (domain name system) werd verkeer op basis van site-namen omgeleid naar IP-adressen van derden. Daar stond schijnbaar slechts een blanco 'Under construction'-pagina, maar die bevatte een iFrame waarlangs malware werd geserveerd.

Dat was de beruchte Blackhole-exploitkit die via Java- of PDF-gaten zichzelf toegang verschaft tot pc's van nietsvermoedende websurfers. Eenmaal binnen haalde die malware weer andere malware binnen, die via anonimiseringsnetwerk Tor (The Onion Router) communiceert met zijn c&c-servers (command and control).

Deze meertraps raket besmette bezoekers van webwinkels als Conrad en Champagnekopen.nl, nieuwssites als Mediacourant.nl en het Nederlands Dagblad, naast de sites van vakbond CNV en de Nederlandse DJ Hardwell. Aanvankelijk leek het te gaan om malware óp de site van Conrad, maar dat bleek al gauw niet het geval. De kwaadaardige software stond niet op de site van die webwinkel zelf en was ook niet alleen daarlangs op te lopen.

Compromitteren zonder (direct) te compromitteren

De eigenlijke websites waren dus niet gecompromitteerd, wat aanvankelijk wel werd aangenomen, schrijven securityspecialisten Lennart Haagsma en Yonathan Klijnsma van Fox-IT. Zij hebben een analyse gemaakt van deze malwareverspreiding en de daarvoor gepleegde DNS-serverhack. Dat laatste is gedaan via de DNS-servers van drie hostingbedrijven: Webstekker, VDX en Digitalus.

Ook die slachtoffers in deze cybercrime-zaak lijken zelf niet, of in ieder geval niet direct, te zijn gecompromitteerd. De DNS-servers van de hosters zijn bij de SIDN voorzien van externe nameservers waarlangs het internetverkeer vervolgens liep. Digitalus meldt in een persbericht dat dit "door derden" is gedaan in "de zone van digitalus.nl binnen het DRS-systeem van SIDN".

DNS aangepast bij SIDN

Digitalus meldt dat er geen wijzigingen zijn gedaan op de nameservers van het bedrijf zelf. De daders hebben bij .nl-domeinbeheerder SIDN ingelogd. Het is nog onbekend hoe dit is gedaan "totdat Digitalus of SIDN meer informatie vrijgeven" hierover, bloggen de onderzoekers van Fox-IT.

Vorige maand is de SIDN zelf gehackt. Daarbij plaatsten inbrekers via SQL-injection malware op de portalsite voor domeinregistrars. Het is niet bekend of dit verband heeft met de nu uitgevoerde DNS-serverhack. Webwereld heeft vragen hierover uitgezet. Door de gisteren gepleegde aanpassing op DNS-niveau "kwamen alle DNS-verzoeken niet bij Digitalus uit, maar bij de nameservers van deze derden", verklaart de hoster.

Naijlen

Deze malafide aanpassing is om 3:00 uur maandagochtend gedaan en enkele uren onopgemerkt gebleven. Het is "vanaf 06.00 uur door Digitalus opgemerkt, waarna onderzoek is gestart en Digitalus de zone ook weer heeft hersteld. Deze wijziging is door de SIDN opgepakt vanaf 08.00 uur, het moment waarop SIDN haar zones ververst."

De daders hebben hun DNS-wijziging echter voorzien van een TTL (time to live) van 24 uur. Hierdoor kan de "foutieve DNS-zone" nog een etmaal lang van kracht blijven doordat internetproviders die instelling vasthouden en de malafide DNS-servers blijven serveren. De meeste publieke nameservers zijn inmiddels weer voorzien van de correcte data, stelt Fox-IT in de blogpost over deze zaak.

Webwinkel Conrad liet vanochtend nog weten aan klanten dat zijn sites nog niet helemaal goed bereikbaar waren, door de naijlende DNS-omleiding: