Cooler Master haalt Nederlandse website offline na hack - update

Hardwarefabrikant Cooler Master heeft zijn Nederlandse website offline gehaald nadat een aanvaller met gestolen logingegevens had ingelogd op het beheersysteem. Volgens een tweaker serveerde de website een exploit-kit, maar dat wil Cooler Master niet bevestigen.

Op het moment van schrijven is de Nederlandse website van Cooler Master nog steeds offline. Woordvoerder Marco van Genechten van het bedrijf zegt dat hiertoe is besloten nadat een aanvaller toegang had gekregen tot het content management-systeem. Wat de aanvaller daarna precies heeft gedaan, is volgens Van Genechten nog onduidelijk. "Daar doen we nog onderzoek naar. Vandaag zal daar waarschijnlijk geen duidelijkheid meer over komen."

Volgens tweaker Trexpaxs zijn de gevolgen echter wel degelijk duidelijk: de website zou de Blackhole Exploit Kit hebben geserveerd aan bezoekers. Exploit kits worden door aanvallers gebruikt om middels beveiligingsproblemen in browsers en plugins malware te installeren op pc's van bezoekers. De Blackhole-kit is een veelgebruikte exploit kit. Welke malware via de exploit kit werd geïnstalleerd, is onduidelijk.

Woordvoerder Van Genechten van Cooler Master kan bevestigen noch ontkennen dat er inderdaad een exploit-kit op de website is geplaatst. Wel wil hij kwijt hoe de aanvaller toegang heeft gekregen tot het cms: "Waarschijnlijk zijn de logingegevens gestolen met behulp van een virus", aldus Van Genechten. Voor zover bekend heeft het virus geen andere schade aangericht. "Er was maar één pc getroffen", zegt Van Genechten. "Maar die had net wat meer rechten dan anderen."

Het zou niet voor het eerst zijn dat aanvallers een website hacken om er een exploit kit op te plaatsen: eerder gebeurde dat onder meer bij NU.nl en De Telegraaf. Ook worden advertentienetwerken gebruikt om malware te verspreiden. Dat overkwam onder andere de website van het NRC Handelsblad en de standaard-startpagina van de browser Opera.

Update, donderdag 11:29: De malware op de Nederlandse site van Cooler Master heeft een week online gestaan, laat woordvoerder Van Genechten van Cooler Master weten. Als verklaring voert hij de kerstvakantie aan. "Vlak voor de kerstvakantie werd de pc van onze webbeheerder geïnfecteerd", aldus Van Genechten. "Dat leek aanvankelijk geen problemen op te leveren, maar na de vakantie bleek de website geïnfecteerd."

Door Joost Schellevis

Redacteur

Feedback • 02-01-2013 13:41
18 • submitter: Trexpaxs

02-01-2013 • 13:41

18 Linkedin

Submitter: Trexpaxs

Lees meer

Auteur BlackHole-exploitkit is opgepakt Nieuws van 8 oktober 2013
Nu.nl serveerde urenlang malware - update Nieuws van 6 juni 2013
'Speedtest.net verspreidde malware' Nieuws van 7 februari 2013
Cisco: onlineadvertenties zijn groter beveiligingsrisico dan porno Nieuws van 31 januari 2013
Standaardstartpagina Opera verwees naar malware Nieuws van 16 november 2012
Website NRC verspreidt malware - update 2 Nieuws van 13 november 2012
Google patcht recent Chrome-lek in tien uur tijd Nieuws van 11 oktober 2012
Nieuw Dorifel-virus richt nog geen schade aan in Nederland Nieuws van 2 oktober 2012
Ongepatcht lek in Java 7 wordt actief misbruikt Nieuws van 28 augustus 2012
Firefox blokkeert onveilige Java-versies Nieuws van 3 april 2012
Meer producten en artikelen
Netwerk en systeembeheer Cooler Master

Reacties (18)

-Moderatie-faq
18
15
10
2
0
0
Wijzig sortering
lassieman
2 januari 2013 14:35
De Engelse website lijkt overigens ook malware te bevatten, dat zegt Chrome in ieder geval.

Screenshot: http://snag.gy/MOgJX.jpg
tweaker2010
@lassieman2 januari 2013 15:11
Klopt, dit probleem speelt overigens al langer. Op 28 december werd er al melding van gemaakt:
http://www.computerforum.com/218762-cooler-masters-website-distributing-malware.html
Trexpaxs
@tweaker20103 januari 2013 00:29
Klopt, dit probleem speelt overigens al langer. Op 28 december werd er al melding van gemaakt:
http://www.computerforum.com/218762-cooler-masters-website-distributing-malware.html
Dit was een waarschijnlijk verschijnsel vane en ad die de boel afgeeft.
Mijn post (plaatje) laat zien dat de GEHELE website was geinfecteerd, (zie ajax.js etc.)
als dit een ad was die malware probeerde te verzenden, had ik de AVG notification gewoon weggeklikt, of een screenshotje naar coolermaster gestuurd.

hier zat dus blijkbaar meer achter dan ik verwacht had, en ik ben blij dat er niet eerst veel mensen geïnfecteerd moesten worden voor het bekend werd.
Anoniem: 16328
2 januari 2013 14:06
Gelukkig dat AVG de kit al kent en de meeste andere goede AV software deze rotzooi dus ook kan vangen :).
"Daar doen we nog onderzoek naar. Vandaag zal daar waarschijnlijk geen duidelijkheid meer over komen."
Is het echt zo moeilijk te achterhalen of willen ze het liever gewoon niet naar buiten brengen om communicatieredenen?
Douweegbertje
@Anoniem: 163282 januari 2013 14:20
Waarom moet iemand iets naar buiten brengen als nieuwssite- X langs komt voor een update.
Er komt een avg melding van een rootkit, forum post en vervolgens een triggerhappy newsposter (no offence hoor :P ), dat wil nog niet zeggen dat CM zelf klaar is met het 'onderzoek'.

Natuurlijk is het duidelijk dat er een rootkit in zit, maar hun boeit het even niet wat een tweaker weet maar juist dat alles wordt opgelost zodat die site weer de lucht in kan.
Vervolgens maak je zelf een statment als bedrijf.
Jan-E
2 januari 2013 14:08
Exploit kits worden door aanvallers gebruikt om middels beveiligingsproblemen in browsers en plugins malware te installeren op websites van bezoekers.
Die exploit kits worden steeds ingenieuzer ;)

Edit: @ChicaneBT: die eerste edit was dus alleen maar het benadrukken van websites. Overigens is de tekst van het artikel inmiddels aangepast.

[Reactie gewijzigd door Jan-E op 2 januari 2013 16:28]

Anoniem: 16328
@Jan-E2 januari 2013 14:20
Valt wel mee dacht ik hoor. Laatst tijd waren er ook een berg exploits die werken door middel van ik meen Javascript wat vervolgens je lekke Java plugin infecteerde.
dutchatheist
@Anoniem: 163282 januari 2013 15:31
Lees nou nog eens wat er geschreven staat... ik weet dat het moeilijk is voor de meesten...

"te installeren op websites van bezoekers", dat is inderdaad een wel heeeeeel slimme exploit kit...
Anoniem: 16328
@dutchatheist2 januari 2013 15:34
Jan-E heeft zijn post gewijzigd er stond eerst iets anders waar ik vervolgens op reageerde. Je hoeft dus ook helemaal niet gelijk een grote mond te hebben dat ik iets niet goed gelezen zou hebben!

[Reactie gewijzigd door Anoniem: 16328 op 2 januari 2013 15:39]

Zethiel
2 januari 2013 15:14
De Nederlandse website linkt op dit moment door naar de .com website, hopelijk valt de "schade" verder mee.
StephanRomer
3 januari 2013 09:42
Heb hier ook last van gehad, mijn pc werd door het bezoek van de Cooler Master website geinfecteerd met het Reveton!Ink virus, erg vervelend maar niet fool proof!
Loller1
2 januari 2013 14:29
Mmmm, dit gebeurd de laatste tijd wel vaak met Nederlandse sites, of licht dat aan mij? Ik hoop dat Tweakers zijn beveiliging op orde heeft. :)
driekske
@Loller12 januari 2013 21:34
klopt. laatst had de Televaag er ook last van.
nieuws: Pobelka-botnet bracht interne netwerkstructuren in kaart

mag ik een voorstel voor CMS-bouwers doen:
-inlog-restricties voor (admin-)accounts
-ip-restricties, alleen inloggen vanaf bekend ip-adres
-email-verificatie, indien van vreemd ip-adres, verificatie via email
-logging en monitoring op verdacht inloggedrag
-detectie van wijzigingen aan framework (ipv content)
-scanner van php/js op webserver

-OTAP, geen directe toegang tot productie, maar via ftp en sync.
bij de sync scan je de gewijzigde files.

iemand nog wat ideeen?
ThePendulum
@Gipsy King2 januari 2013 17:03
Nu heb ik het artikel eerlijk gezegd maar geskimd, maar het gaat hier toch om inloggegevens die gestolen zijn? Daar kun je amper tegen beveiligen, dan moet je psychologische spelletjes gaan spelen tijdens de inlogprocedure...
Anoniem: 16328
@j0shua792 januari 2013 14:33
McAfee heeft een nog slechtere reputatie dan AVG en is voor hun normale AV pakket ook nog eens betaald. Het is nog erger het is niet alleen een reputatie maar ook te onderbouwen met testen: http://www.av-comparative...ocs/avc_prot_2012b_en.pdf Nogal onzinnig dus om AVG weg te zetten als slecht. McAfee Stinger kan trouwens wel een goed product zijn daar niet van :). Wat mij handig lijkt om te gebruiken is de Rescue Disk van Kaspersky of Bitdefender. De scan wordt dan uitgevoerd vanaf een Live Linux CD.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee