Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Doelgerichte aanval leidde tot nameserver wijziging Digitalus en VDX

  • Door
  • Arnout Veenman
  • geplaatst op
  • 15 augustus 2013 08:01 uur

HackerDe wijziging van de nameservers van IT-Ernity onderdelen Digitalus en VDX waardoor de domeinnamen van klanten naar malware verwezen, blijkt het sluitstuk te zijn van een doelgerichte aanval op de bedrijf, waarbij de logingegevens die toegang geven tot het domeinregistratiesysteem van SIDN werden gestolen.

De diefstal van de logingegevens was mogelijk doordat een afdeling binnen IT-Eternity een e-mail ontving met daarbij een bijdrage die op een PDF leek, maar in werkelijkheid de computer van de medewerker die de bijlage opende infecteerde met malware die door nog vrijwel geen enkele virusscanner werd gedetecteerd. Dat zou blijken uit een onderzoek dat is uitgevoerd door Digital Investigation in opdracht van IT-Ernity.

Als onderdeel van de dagelijkse werkzaamheden werd door de medewerker ingelogd op het domeinregistratiesysteem van SIDN en door de malware waren de aanvallers in staat om de logingegevens te stelen. Met behulp van de gestolen logingegevens zijn daarna de nameservers van vier .nl-domeinnamen van Digitalus en VDX gewijzigd, waaronder de domeinnamen die fungeren als nameservers van klanten.

Om herhaling te voorkomen heeft IT-Ernity een tweede SIDN-account genomen, waar de bewuste domeinnamen naartoe zijn verhuisd. De logingegevens van het tweede account zijn volgens IT-Ernity enkel toegankelijk op C-level binnen de organisatie. Uit de whois-gegevens van de SIDN blijkt inderdaad dat de domeinnamen van klanten van de bedrijven ‘Virtual Registrar’ de registrar is en voor de domeinnamen digitalus.nl en vdx.nl is dit ‘IT-Ernity Holding B.V.’.

Ook wordt er met de SIDN gesproken over maatregelen om herhaling te voorkomen. Op Twitter geeft SIDN naar aanleiding van een vraag van iemand over een tweede vorm van authenticatie aan de mogelijkheid om de extra beveiliging van domeinnamen .nl-control uit te breiden. In het verleden is er voor gekozen om nameservers daar bewust buiten te houden, gezien een snelle verandering van deze soms noodzakelijk is. Al zou het voor kritische domeinnamen die als nameserver van andere domeinnamen fungeren inderdaad goed zijn als daar ook een extra bescherming voor komt. Goed dus dat SIDN dat onderzoekt.

Dennis, 15 augustus 2013 9:44 am

Ze kunnen beter het DRS zelf voorzien van 2-way authentication.
Of whitelisting op basis van een IP-adres, net als bij EPP.

  • Pingback: Opnieuw DNS Hack bij VDX? | Webmaster Resources

  • Laatste reacties

    Bedankt voor het succes van ISPam.nl
    Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

    Bedankt voor het succes van ISPam.nl
    Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

    Bedankt voor het succes van ISPam.nl
    L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

    Bedankt voor het succes van ISPam.nl
    Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

    Bedankt voor het succes van ISPam.nl
    Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.