DNS der niederländischen Registry war manipuliert

Drei niederländische Webhoster waren am 5. August Ziel einer neuartigen Attacke auf das Domain Name System (DNS) einer Registry, wie das Internet Storm Center (ISC) berichtet. Aufgefallen war die Attacke, als Aufrufe der viel besuchten Website conrad.nl (der niederländischen Tochterfirma des deutschen Elektronik-Versenders) mit einer "Under Construction"-Seite beantwortet wurden. Diese Webpage wurde nicht von conrad.nl, sondern von einem anderen Host geliefert. Sie enthielt ein iFrame mit Schadcode, der ein Java-Exploit nutzte und den Rechner mit einem Trojaner infizierte.

Laut Beobachtungen des Security-Unternehmens Fox IT waren Anfragen nach Websites betroffen, die bei einem der drei Webhoster Digitalus, VDX und Webstekker liegen. In einer Stellungnahme verwies Digitalus auf die niederländische Registry SIDN. In deren DNS seien die Einträge zu den Hostern durch Verweise zu externen DNS-Servern ersetzt worden, die wiederum zu der Schadseite führten. Dadurch seien Anfragen nach tausenden von Websites zu der "Under Construction"-Seite umgeleitet worden.

Weil die DNS-Server vieler Endkunden-Provider nur alle 24 Stunden ihren Cache erneuern, funktionierte die Umleitung mancherorts auch noch lange, nachdem die Einträge aus dem Registry-DNS entfernt waren. Das ISC verbindet die Meldung mit der Besorgnis, dass Angreifer offensichtlich nicht mehr davor zurückschrecken, direkt kritische Netz-Infrastruktur ins Visier zu nehmen: "Dies sollten wir alle im Hinterkopf behalten." (hob)