- Door
- Edwin Feldmann
- geplaatst op
- 22 november 2013 08:03 uur
Bij de DNS-hijack waar LeaseWeb vorige maand slachtoffer van is geworden, werd een medewerker besmet met malware.
De hackersgroep Anonymous Palestina, ook wel bekend als het Kdms-team, slaagde er in oktober in om de DNS-gegevens van LeaseWeb.com te wijzigen waarna een deel van de bezoekers naar een verkeerde site werd geleid.
De hijack werd uitgevoerd vanaf een ip-adres in Rammalah in Palestina, zegt Alex de Joode, Senior Legal Counsel bij LeaseWeb. Door de hijack werd een deel van de bezoekers van LeaseWeb.com omgeleid naar een site waar een boodschap van de Palestijnse hackers stond. Alleen bezoekers die de site al in het cachegeheugen hadden staan, kregen nog wel de juiste site voorgeschoteld.
Nu achteraf heeft LeaseWeb een goed beeld van wat er is gebeurd. Aanvankelijk is geprobeerd een medewerker in de val te lokken door gewone mailtjes te versturen vergezeld van malware. Omdat die tactiek niet werkte, werd volgens De Joode een Palestijnse site bij een andere provider gehackt. “Van die website verzonden ze een mail met een hulpverzoek naar LeaseWeb, met daar bijgevoegd een kopie van een legitimatiebewijs. Dat bestand was echter een kwaadaardig .jar-bestand”, aldus De Joode. Een medewerker raakte hierdoor besmet met malware en verschafte de hackers ongemerkt toegang tot de DNS-instelling van de website van de Nederlandse hoster.
Controle
Na dit incident heeft LeaseWeb diverse maatregelen genomen om herhaling te voorkomen. Allereerst is de mailserver strenger geworden met welke bestanden in de mail worden doorgelaten. Verder voert LeaseWeb een betere controle op het interne netwerkverkeer op vreemde gedragingen. De wet verbiedt het om iets als deep packet inspection op het netwerk te gebruiken, maar dat geldt niet voor ons interne netwerk. We doen daarom nu aan strikte monitoring.
Al is daar volgens De Joode wel vooraf goed over nagedacht. “Wij kennen een open bedrijfscultuur en dit past er niet bij. Maar gezien de belangen als hoster is dit onvermijdelijk.”
Als laatste maatregel is eind oktober het ticketingsysteem beter afgeschermd. Het ticketingsysteem voor klanten was altijd van buitenaf bereikbaar maar dat is sinds kort verhuisd naar een intern netwerk.
Afloop
LeaseWeb heeft aan het incident weinig tot geen imagoschade overgehouden, denkt De Joode. “Van veel klanten kregen we lovende woorden vanwege onze transparantie.” De hostingprovider heeft wel aangifte gedaan bij het team High Tech Crime van het KLPD en hoopt dat de hackers ooit opgepakt zullen worden. “Dit soort online vandalisme moet bestraft worden, maar of ze ooit gepakt worden, hangt onder meer af van het land waar de hackers zich bevinden.” Dat land moet meewerken aan uitleveringsverzoeken, anders is vervolging van de hackers kansloos.