De cyberaanval van deze week op een aantal grote websites zoals twitter.co.uk en nytimes.com is gestart met een DNS hack. Deze DNS hack is gestart met een phishing aanval op een bedrijf in Australië. Het bedrijf Melbourne IT is domein registar in Australië en tevens een dienstverlener voor ICT. Als gevolg van deze phishing aanval waren de hackers in staat om DNS (Domain Name System) wijzigingen aan te brengen. Dat hebben ze gedaan voor grote websites zoals nytimes.com, sharethis.com, huffingtonpost.co.uk, twitter.co.uk en twimg.com, aldus Jaime Blasco, directeur van het research lab van de firma Alien Vault. Na onderzoek bleek het account van een van de resellers van deze firma gestolen te zijn en gebruikt voor deze aanval. De naam van de reseller is niet naar buiten gebracht.
Als gevolg van deze DNS wijziging werd al het dataverkeer naar deze websites omgeleid naar servers van de hackers. De hackers noemen zichzelf de ‘Syrian Electronic Army (SEA)’ die publiekelijk president Bashar al-Assad en zijn regering steunt. Deze hackergroep heeft in de afgelopen maanden ingebroken in meerdere websites en op meerdere Twitter-accounts van onder andere de Financial Times, de BBC en Al Jazeera.
Het kan tot 24 uur duren voordat een dergelijk omleiding weer ongedaan is gemaakt voor alle internet gebruikers. Doordat DNS gegevens in een cache worden opgeslagen en pas van een update worden voorzien nadat de tijd van de time-to-live (TTL) waarde is verstreken. De gevolgen voor gebruikers van deze aanval kunnen verder gaan dan alleen het niet kunnen bereiken van de gewenste website. Doordat ze naar een website van de aanvaller worden omgeleid is het ook mogelijk dat malware op het systeem van de eindgebruiker wordt geïnstalleerd.