Maandagochtend vroeg op 5 augustus werd stilletjes bij .nl-beheerder SIDN (Stichting Internet Domeinregistratie Nederland) de DNS-zone voor hostingbedrijven Digitalus en VDX aangepast. Kwaadwillenden voegden daar eigen externe nameservers aan toe waardoor bezoek aan legitieme websites in Nederland en België werd omgeleid. Omgeleid naar websites waar malware klaarstond om nietsvermoedende surfers te besmetten met malware die springt op gaten in Java of anders in PDF.

Juist een PDF was ook de oorsprong van de hele serverhack. Dat blijkt uit forensisch onderzoek dat is uitgevoerd bij de getroffen hostingbedrijven. Digitalus en VDX, beide onderdeel van IT-Ernity Internet Services, schakelden het gespecialiseerde onderzoeksbureau Digital Investigation in om de oorzaak te achterhalen. En dat is gelukt: de malafide wijziging in de DNS-zone is gepleegd door de daarvoor benodigde login-gegevens te bemachtigen. Dat is gedaan door een mail te sturen met “een regulier ogende”, maar malafide PDF-bijlage.

Moederbedrijf IT-Ernity meldt dat Digital Investigation “heeft vastgesteld dat de problemen bij Digitalus en VDX zijn veroorzaakt door een hack op één werkstation binnen de interne kantoorautomatisering en niet op de productieomgeving”. Het openen van de malafide bijlage heeft ongemerkt malware geïnstalleerd op het werkstation van één van de medewerkers.

Alles bij de bron; WebWereld