Hackers breken in op webservers om deze in te zetten voor een DDoS-aanval, meldt een Amerikaans beveiligingsbedrijf. Via brakke sites wordt de server overgenomen om een vloedgolf requests te sturen.

In plaats van het rekruteren van vrijwilligers die sites DDoS'en of het inzetten van botnets om nietsvermoedende gebruikers te laten meewerken, stappen de cybervandalen over op het inlijven van webservers om het vuile werk op te knappen. Beveiligingsbedrijf Incapsula heeft de laatste maanden gezien hoe websites worden overgenomen om een DDoS-aanval uit te voeren.
Adminwachtwoord 'admin'

Een van de sites die meewerkte aan een DDoS-aanval op Amerikaanse banken was twijfelachtig beveiligd. Het administratiewachtwoord was simpelweg 'admin', waardoor ongenode gasten doodsimpel de site konden inzetten voor een aanval op websites. Het cybertuig eigende zich de website toe om http- en udp-pakketjes te versturen naar de sites van onder meer HSBC en PNC Financial Services.

De aanval kon worden tegengehouden voor die goed en wel begon, omdat het beveiligingsbedrijf de ingevoegde backdoor ontdekte. Ronen Atias van beveiligingsbedrijf Incapsula schrijft dat het inlijven van webservers als zombies in een DDoS'end netwerk een logische stap is.

"Hackers hebben liever webservers dan pc's", schrijft Atias. "Dit zijn meestal krachtigere machines met toegang tot een kwaliteitsnetwerk van de hoster en veel webservers kunnen worden gekaapt door een beveiligingslek in een van de sites."
'Geen boze hackers'

De groep die Amerikaanse banken probeert neer te halen zou dezelfde club zijn die nog altijd protesteert tegen de controversiŽle internetfilm 'Innocence of Muslims'. "Deze aanvallen zullen doorgaan totdat de nare film van internet wordt verwijderd", stelde de groep in september in een boodschap op Pastebin.

Maar volgens de New York Times gaat het hier niet om zomaar boze hackers, maar zit Iran achter het platleggen van Amerikaanse sites. Dat heeft een computerdeskundige en voormalig overheidsfunctionaris aan de krant bevestigd. "Er bestaat bij de overheid geen twijfel over dat Iran achter deze aanvallen zit", aldus de deskundige.

Het voornaamste bewijs voor deze bewering is dat de aanval veel geavanceerder is dan de DDoS-aanpak van het gemiddelde hackerscollectief. Daarnaast hebben de aanvallers geen winstoogmerkt, wat een kenmerk is van een cyberaanval van een overheid.
Cyberdieven liften mee

De cybervandalen toonden zich al eerder creatief door een opt-in botnet te gebruiken, waardoor botnetbeheerders zich bij de DDoS-actie konden voegen door hun zombies in te zetten voor de aanval. Met succes legden ze op deze manier Chase.com van de bank J.P. Chase Morgan plat.

Een bijkomend probleem van de DDoS-aanvallen is dat cybercriminelen kunnen meeliften met zo'n operatie. Als een IT-afdeling zich bezighoudt met het afslaan van de DDoS - vooral op slecht bezette tijdstippen als vrijdagmiddag - kunnen cybercriminelen hun slag slaan via een andere ingang. Beveiligingsdeskundigen waarschuwen daarom ict'ers om tijdens een DDoS-aanval op de hoede te zijn voor andere venijnige haakjes.