Χθες Δευτέρα 5 Αυγούστου του 2013 εκατοντάδες ιστοσελίδες άρχισαν να ανακατευθύνουν τους επισκέπτες τους σε σελίδες που φιλοξενούσαν κακόβουλο λογισμικό. Μία από αυτές ήταν και το δημοφιλές online κατάστημα ηλεκτρονικών ειδών Conrad.nl. Το redirecting ήταν αποτέλεσμα παραβίασης των DNS servers μιας ολλανδικής εταιρείας web hosting, της Webstekker.
Ερευνητές από την εταιρεία ασφαλείας Fox-IT ανέλυσαν την επίθεση και διαπίστωσαν ότι τρεις web hosting είχαν χτυπηθεί από τους άγνωστους hackers.
Οι εταιρείες Digitalus, Virtual Dynamix (VDX) και η Webstekker όπως προαναφέραμε, που φιλοξενούν πάρα πολλές ιστοσελίδες, άρχισαν να στέλνουν όλους τους τους επισκέπτες σε ορισμένες ιστοσελίδες που μοίραζαν malware.
Σε μια δήλωση της Digitalus οι εκπρόσωποι της ανέφεραν ότι οι επιτιθέμενοι κατάφεραν να τροποποιήσουν των συστήματα καταχώρισης domain του SIDN, το Ίδρυμα για την καταχώριση domain Διαδίκτυου στις Κάτω Χώρες.
Προς το παρόν, δεν υπάρχουν λεπτομέρειες για το πώς οι επιτιθέμενοι κατάφεραν να αποκτήσουν πρόσβαση στα συστήματα καταγραφής domain του SIDN.
Η Webstekker δημοσίευσε επίσης μια σύντομη δήλωση, χωρίς να δίνει πολλές εξηγήσεις. Η δήλωση της απλά ενημερώνει ότι τα DNS servers της εταιρείας ανακατευθύνουν τους επισκέπτες των ιστοσελίδων της σε sites με malware.
Η εταιρεία ασφαλείας Fox-IT δημοσίευσε μια ανάλυση της επίθεσης.
“Οι ιστοσελίδες είηαν ένα απλό μήνυμα ‘Under construction’ αλλά υπήρχε ένα iframe σε αυτές. Το iframe ήταν ένα παράθυρο από μια ιστοσελίδα που τρέχει το Blackhole Exploit Kit. Ενώ αρχικά υποθέταμε ότι η εταιρεία conrad.nl είχε παραβιαστεί ανακαλύψαμε ότι τα DNS servers απαντούσαν στα ping με την ίδια IP κάθε φορά: 178.33.22.5,” ανέφεραν οι ειδικοί της Fox-IT.
Αξίζει να σημειωθεί ότι, από τον Ιούλιο, είναι η δεύτερη φορά που έχει παραβιαστεί η SIDN.
