De Palestijnse hackers, die afgelopen weekend al hostingbedrijf LeaseWeb te grazen hebben genomen, hebben hun tweede golf aan domeinkapingen gepleegd dankzij een wachtwoordreset. Dit is in ieder geval gebeurd bij antivirusleverancier Avira. Dat bedrijf zag - net als concurrent AVG, chatapp WhatsApp en pornosite RedTube - verkeer naar zijn domein ineens terechtkomen op een andere site.

Wegomleiding opzetten voor de hoofdingang

Middels inbraak op accounts voor DNS-records hebben de hackers deze verkeersomleiding ingesteld. Daarbij hebben zij het eigenlijke IP-adres (of -adressen) van hun slachtoffers vervangen door een eigen adres (of meerdere). Daar prijkt vervolgens de politieke boodschap van het KDMS Team over Palestina en het bericht dat iedereen valt te hacken.

LeaseWeb heeft Computerworld.nl uitgebreid vertelt over de hack en wat het vervolgens aan tegenmaatregelen heeft getroffen. Waardevolle lessen voor elk bedrijf met een web presence.


"Het lijkt erop dat ons account dat is gebruikt voor het beheer van DNS-records bij Network Solutions een vals verzoek voor een wachtwoordreset heeft ontvangen", blogt Avira. Die reset is vervolgens uitgevoerd door de provider. Gebruikmakend van de nieuwe inlogrechten (credentials) hebben de hackers het verkeer naar Avira.com omgeleid.

DNS-account direct of mailaccount voor DNS-inlog

Een website kan nog zo goed beveiligd zijn, dat kan niet op tegen vervalsing van internetadresboek DNS. En toegang daartoe ligt elders, bij derden. Wat afgelopen zomer op harde wijze is ontdekt door grote namen als Twitter en The New York Times, maar ook webwinkel Conrad.nl en het Nederlands Dagblad. Lees ook: Hoe adresboekvervalsing je veilige site pwned

Het is nog niet duidelijk of de reset is uitgevoerd voor Avira's DNS-account bij registrar Network Solutions zelf of dat het daarvoor gebruikte mailaccount is gecompromitteerd. In het eerste geval is de domeinregistrar het zwakke punt geweest, in het tweede geval de mailbeheerder die Avira gebruikt of zelf heeft. Webwereld heeft vragen hierover uitgezet. Avira stelt in de blogpost nog gerust dat zijn interne netwerk niet is gecompromitteerd en dat de updateservers voor zijn securitysoftware ook veilig zijn gebleven. "Die servers zijn niet geregistreerd bij Network Solutions."