Hostingreus GoDaddy afgelopen 3 jaar 3 keer gehackt door 1 aanvaller
GoDaddy onthult dat het in drie jaar tijd drie keer is gehackt door een en dezelfde partij. Van 2020 tot en met 2021 zijn succesvolle hackaanvallen uitgevoerd op het bedrijf, dat één van de grootste hosting- en domeinregistrarbedrijven ter wereld is. Deze meerjarige aanvalscampagne is uitgevoerd door een 'geraffineerde aanvaller', die data van klanten maar ook code van GoDaddy heeft buitgemaakt.
© Shutterstock
Shutterstock
De verantwoordelijk geachte 'threat actor group' heeft malware op de interne IT-systemen van het hostingbedrijf geïnstalleerd, zo blijkt uit paperassen die zijn ingediend bij de Amerikaanse beurswaakhond SEC (Securities and Exchange Commission). De eerste aanval is in maart 2020 uitgevoerd, wat GoDaddy in mei dat jaar heeft gemeld aan getroffen klanten. De tweede aanval is in november 2021 uitgevoerd en de derde in december 2022.
Geraffineerde hostinghackers
Deze drie aparte inbraken blijken nu dus gerelateerd te zijn. Het gehackte bedrijf meldt in een verklaring dat het bewijs heeft dat dit het werk is van een geraffineerde en georganiseerde groep die het gemunt heeft op hostingdiensten zoals die van GoDaddy. Daarbij stelt het bedrijf ook dat de politie heeft bevestigd dat het om een grootschalige en breed gerichte, maar gespecialiseerde operatie gaat.
Het doel van deze aanvallersgroep is het infecteren van websites en servers met malware voor uiteenlopende cybercriminele doeleinden. Dit omvat onder meer het uitvoeren van phishingcampagnes en het verder distribueren van malware (naar bezoekers van geïnfecteerde sites). GoDaddy meldt dat het nu samenwerkt met politie en justitie in landen over de hele wereld en ook met forensische experts om de zaak verder uit te zoeken.
Beheerpaneel
De meest recente aanval, van december vorig jaar, heeft de daders toegang verschaft tot de cPanel-hostingservers van GoDaddy. Op die beheerservers is toen malware geïnstalleerd, die met tussenpozen willekeurige websites van GoDaddy-klanten omleidde naar sites met kwaadaardige inhoud. Zo kwamen bezoekers van websites terecht op sites waar ze malware voor hun computers konden oplopen. GoDaddy heeft deze malafide omleidingen niet zomaar weten te reproduceren, zelfs niet op dezelfde websites die eerder dus zijn getroffen.
Het bedrijf verklaart nu nog de oorzaak van dit incident te onderzoeken. De eerdere twee aanvallen die nu in verband worden gebracht met dit derde succesvolle hackgeval zijn toen uitgevoerd doordat de daders inloggegevens in handen kregen. Bij het geval van begin 2020 is toegang verkregen tot "een klein aantal" accounts van werknemers en de hostingaccounts van ongeveer 28.000 klanten, schrijft Ars Technica. Bij het geval van eind 2021 hebben de aanvallers het wachtwoord in handen gekregen voor toegang tot de broncode van GoDaddy's Managed WordPress-dienst. Dit heeft toen 1,2 miljoen klanten geraakt.
'Geen nadelige impact'
"Tot op heden hebben deze incidenten, net als andere cyberdreigingen en -aanvallen niet geleid tot enige materiële nadelige impact op onze business of operations", stelt GoDaddy in de beurspaperassen (op pagina 31). De digitale dreigingen zijn wel continue aan het doorontwikkelen waardoor het moeilijk is om ze te detecteren en er succesvol tegen te verdedigen, vervolgt het meermaals gehackte bedrijf in zijn 10-K documenten die het heeft ingediend bij de SEC.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee