Hack bij SIDN blijkt door malafide PDF te zijn veroorzaakt
De hack bij domeinbeheerder SIDN van vorig week is veroorzaakt door 'een hack op één werkstation binnen de interne kantoorautomatisering en niet op de productieomgeving.' Door de hack verwezen de URL's van duizenden websites die gehost zijn bij de hostingproviders Digitalus, VDX en Webstekker naar een malafide webpagina waar malware werd verspreid.
De hack is onderzocht door het onafhankelijke onderzoeksbureau Digital Investigation. Digitalus meldt dat na forensisch onderzoek is gebleken dat de hack is veroorzaakt door een malafide PDF-bestand. Dit bestand is via e-mail naar medewerkers van SIDN. Eén van de werknemers heeft het PDF-bestand geopend en hierdoor ongemerkt malware op het werkstation geïnstalleerd.
Machine van administratief medewerker
De geïnfecteerde machine is een werkstation van een administratief medewerker. Het werkstation wordt gebruikt om registrar zaken te regelen als onderdeel van de dagelijkse reguliere werkzaamheden. Vervolgens zijn met de onrechtmatig bemachtigde SIDN gebruikersgegevens de nameservers van een viertal domeinnamen, waaronder de core DNS domeinnaam, aangepast naar de door cybercriminelen ingestelde webadressen, waardoor bezoekers omgeleid werden naar een pagina die eveneens malware verspreidt.
Digitalus stelt onmiddellijk na de vaststelling van de problemen maatregelen te hebben getroffen. Om mogelijke herhaling van dit soort ongeautoriseerde wijzigingen op core domeinnamen te voorkomen zijn deze domeinnamen preventief opgenomen in een nieuwe afgescheiden SIDN-account waar alleen op C-level toegang tot kan worden verkregen. Daarnaast is Digitalus in gesprek met SIDN om het misbruik kunnen maken van wachtwoorden van SIDN in de toekomst te voorkomen. De hostingprovider denkt hierbij bijvoorbeeld aan de introductie van uitgebreidere authenticatiemethodieken die via een separaat medium lopen zoals SMS.
