Maandagochtend vroeg op 5 augustus werd stilletjes bij .nl-beheerder SIDN (Stichting Internet Domeinregistratie Nederland) de DNS-zone voor hostingbedrijven Digitalus en VDX aangepast. Kwaadwillenden voegden daar eigen externe nameservers aan toe waardoor bezoek aan legitieme websites in Nederland en België werd omgeleid. Omgeleid naar websites waar malware klaarstond om nietsvermoedende surfers te besmetten met malware die springt op gaten in Java of anders in PDF.

Mail met regulier ogende PDF

Juist een PDF was ook de oorsprong van de hele serverhack. Dat blijkt uit forensisch onderzoek dat is uitgevoerd bij de getroffen hostingbedrijven. Digitalus en VDX, beide onderdeel van IT-Ernity Internet Services, schakelden het gespecialiseerde onderzoeksbureau Digital Investigation in om de oorzaak te achterhalen. En dat is gelukt: de malafide wijziging in de DNS-zone is gepleegd door de daarvoor benodigde login-gegevens te bemachtigen. Dat is gedaan door een mail te sturen met “een regulier ogende”, maar malafide PDF-bijlage. IT-Ernity maakt dit nu bekend.

SIDN had al aan Webwereld laten weten dat de DNS-wijziging is gedaan met een legitiem account, wat ook geautoriseerd was voor een dergelijke handeling. De ingang voor deze cybercrime was dus niet bij de SIDN, die zelf een maand eerder wel is gehackt. Die inbraak staat echter los van de DNS-serverhack, legde de stichting uitgebreid uit. De daders hebben dus echte accountgegevens buitgemaakt.

In de kantooromgeving

En dat is dus gebeurd bij de hosters, wiens klanten hun websitebezoek misliepen toen die bezoekers werden omgeleid naar sites met malware. Duizenden websites, mogelijk wel achttienduizend domeinen zijn geraakt. Moederbedrijf IT-Ernity meldt dat Digital Investigation “heeft vastgesteld dat de problemen bij Digitalus en VDX zijn veroorzaakt door een hack op één werkstation binnen de interne kantoorautomatisering en niet op de productieomgeving”. Het openen van de malafide bijlage heeft ongemerkt malware geïnstalleerd op het werkstation van één van de medewerkers.

“De installatie van deze malware had niet voorkomen kunnen worden, omdat deze door vrijwel geen enkele moderne virus checker wordt onderschept op het moment van de besmetting”, stelt de hoster in het persbericht. “Na de installatie van de malware zijn wachtwoorden en login-gegevens verkregen vanaf het besmette werkstation van een administratief medewerker die gebruikt worden om bij domeinnaambeheerder SIDN als registrar zaken te regelen als onderdeel van de dagelijkse reguliere werkzaamheden.”

‘Had mij ook kunnen overkomen’

“Het openen van de bijlage van deze e-mail had mij ook kunnen overkomen”, zegt CEO Sebastiaan de Koning van IT-Ernity. “Aan het bestand was niet direct zichtbaar dat het niet om een reguliere PDF ging. Een geschoolde IT-medewerker zou dit wellicht wel herkend hebben.” Om herhaling te voorkomen heeft het bedrijf wel maatregelen getroffen. Deze omvatten het opnemen van de domeinnamen van de DNS-servers in een nieuwe, afgescheiden SIDN-account. Toegang daartoe is alleen mogelijk op C-level, laat IT-Ernity weten.

Daarnaast zijn Digitalus en VDX in gesprek met SIDN om misbruik van wachtwoorden voor SIDN-systemen in de toekomst te voorkomen, “door bijvoorbeeld uitgebreidere authenticatiemethodieken te introduceren die via een separaat medium lopen zoals bijvoorbeeld SMS”. De Koning stelt nog dat het forensisch rapport en de eigen ervaringen worden gedeeld met andere bedrijven in de branche, om dergelijke problemen gezamenlijk te kunnen oplossen.

Opsporing in het buitenland

De CEO biedt de klanten van zijn bedrijf, en ook de klanten van die bedrijven, excuses aan “ondanks de overmachtssituatie”. Ondertussen zijn de daders van deze sluwe hack voor massale malwaredistributie nog onbekend. IT-Ernity zegt te weten dat de daders zich in het buitenland bevinden. Via de KLPD zijn de autoriteiten daar op de hoogte gesteld.