Nieuws

750 websites omgeleid naar malwaresite bij grote DNS-hack

Door een grote DNS-hack van 27 top-level domeinen, werden onder andere Nederlandse websites urenlang omgeleid naar een pagina met malware.

Op 7 juli slaagden cybercriminelen erin om de naamservers van 751 domeinen te wijzigen. De hackers verschaften ongeautoriseerde toegang tot één van de technische partners van Gandi, die toegang heeft tot 27 top-level domeinen, waaronder .nl. Pas na vier uur merkten Gandi-medewerkers het probleem op, waarna het nog eens 3,5 uur duurde alvorens alle instellingen werden aangepast.

Beheerder

Gandi beheert meer dan 2,1 miljoen domeinnamen die tot 730 verschillende top-level domeinen behoren. Om deze domeinen correct te beheren, heeft het bedrijf toegang tot de technische back-end van deze websites en werkt de firma samen met technische partners. Het incident van vorige week gebeurde slechts bij één van deze partners, die 34 top-level domeinen van Gandi beheert.

De cybercriminelen die erin slaagden de technische partner succesvol aan te vallen, waren gelukkig niet in staat om de volledige database van Gandi of van zijn technische partner te raadplegen. “De aanvaller was in staat om veranderingen aan te brengen via het webportaal van onze technische partner met behulp van onze logingegevens die werden ontvreemd,” schrijft Gandi. “Deze gegevens werden niet ontvreemd door een lek in onze systemen en we hebben een sterk vermoeden dat deze werden bemachtigd via een onveilige verbinding naar het webportaal van onze partner.”

Malware

Eenmaal de cybercriminelen de logingegevens in handen hadden, konden de hackers aanpassingen toebrengen aan de naamservers van 751 domeinen. De criminelen leidden alle verkeer naar deze websites om naar een pagina met malware. Rekening houdende met de vertraging wanneer je de DNS updatet, zouden de domeinnamen in totaal tussen de acht en 11 uur gehackt zijn.

Onder de gehackte websites zitten enkele grote namen, waaronder een Zwitsers informatiebeveiligingsbedrijf. In een blogpost legt de firma uit dat hij geen enkele controle had over deze aanval, maar wel extra beveiliging heeft geplaatst rond zijn website en DNS. Ook de e-mails van de firma werden omgeleid tijdens de aanval. Gelukkig hadden de hackers geen e-mailservers voorzien om deze berichten te ontvreemden.

BeveiligingdnsGandimalware

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600