De aanvallers die de dns-instellingen van drie webhosters kaapten om bezoekers door te verwijzen naar malware, hebben 18.000 domeinnamen getroffen, zo schat het Nationaal Cyber Security Centrum. Miljoenen gebruikers kunnen met de malware zijn besmet.
Woordvoerster Mary-Jo van de Velde zegt dat het Cyber Security Centrum, onderdeel van de Nederlandse overheid, een sample van de malware heeft ontvangen en daaruit heeft kunnen afleiden dat er 18.000 domeinnamen zijn besmet. Hoe de onderzoekers van het centrum precies tot dat cijfer zijn gekomen, wil Van de Velde niet aangeven.
Maandag werd al bekend dat alle getroffen websites waren gehost door webhosters Digitalus, VDX en Webstekker, onderdeel van hetzelfde moederbedrijf, IT-Eternity. Onder meer webwinkel Conrad en de websites van vakbond CNV en DJ Hardwell werden bij een van die drie bedrijven gehost en serveerden malware. Het is nog niet uit te sluiten dat ook andere webhosters zijn getroffen. "Wij weten dat alleen als een bedrijf zelf bij ons aanklopt, en dat is niet verplicht", zo zegt Van de Velde.
Hoeveel internetgebruikers het slachtoffer van de malware zijn, is moeilijk te zeggen. "Maar het kan natuurlijk om miljoenen mensen gaan", aldus Van de Velde. De aanvallers gebruikten de logins van de webhosters voor het systeem van de SIDN, dat de .nl-zone beheert, om de dns-instellingen aan te passen. De dns-servers van de providers werden vervangen door dns-servers van de aanvallers, die verwees naar pagina's met malware. Bovendien stelden ze de time-to-live van de domeinnamen in op 24 uur, waardoor de foutieve verwijzing nog lange tijd in veel dns-servers verkeerd gecachet was.
Vorige maand werden systemen van de SIDN gekraakt, waarbij een bestand met logingegevens is buitgemaakt; of dat iets met deze aanval te maken heeft, is nog niet duidelijk. Het gekraakte systeem is overigens niet de tool die door de aanvallers is gebruikt om de dns-instellingen te wijzigen.
Volgens beveiligingsbedrijf Fox-IT, dat een sample van de malware heeft geanalyseerd, werden een pdf- en een Java-exploit geserveerd aan bezoekers. De malware in kwestie, de Andromeda-backdoor, communiceert via het Tor-netwerk om commando's op te halen van een command-and-control-server. Mogelijk werd er een bitcoin-miner geïnstalleerd, zo zei Mark Loman van beveiligingsbedrijf Surfright tegen Tweakers. Ook wordt de browser gekaapt, al is Chrome daarvoor niet kwetsbaar.
Fox-IT heeft instructies gepubliceerd om de malware te verwijderen; daarvoor moeten onder meer een registry key en een executable worden verwijderd. Ook is de malware te verwijderen met Hitman Pro, zo belooft beveiligingsonderzoeker Loman, wiens bedrijf die beveiligingssoftware ontwikkelt. Systeembeheerders kunnen poort 52300 blokkeren: waarschijnlijk wordt daarmee voorkomen dat de command-and-control-server instructies naar besmette pc's verstuurt.