Persberichtendienst PR Newswire dat in maart werd gehackt is volgens een beveiligingsonderzoeker eerder dit jaar al aangevallen via exploits voor lekken in Adobe ColdFusion. Het is echter onbekend of de aanvallers toen al toegang tot het netwerk kregen.

ColdFusion is een platform voor het ontwikkelen van dynamische websites en webapplicaties. Vanochtend werd bekend dat cybercriminelen bij PR Newswire hadden ingebroken en daar gebruikersnamen en wachtwoordhashes hadden buitgemaakt. Uit nieuwe data blijkt dat de netwerken van het bedrijf eerder zijn aangevallen dan tot nu toe werd aangenomen.

Dat laat Alex Holden van het beveiligingsbedrijf Hold Security weten. Holden verrichtte samen met IT-journalist Brian Krebs onderzoek naar een groep cybercriminelen die op het netwerk van Adobe had ingebroken. Daar werd de broncode van verschillende programma's, 2,9 miljoen creditcardnummers en inloggegevens van klanten buitgemaakt. Onder andere de broncode van ColdFusion werd gestolen.

Server

Op de server waar de cybercriminelen de gestolen data bewaarden werd ook informatie van persberichtendienst PR Newswire aangetroffen. Waar Krebs nog een slag om de arm houdt of de aanval door dezelfde aanvaller of aanvallers is uitgevoerd, stelt Holden dat het zeker om dezelfde groep gaat. De groep zou naast Adobe en PR Newswire ook bij LexisNexis en het National White Collar Crime Center (NW3C) hebben ingebroken.

In de eerste aankondiging van de aanval op PR Newswire werd gesteld dat het netwerk op 8 maart van dit jaar werd gehackt. Nu meldt Holden dat er bewijs is dat er op 13 februari van dit jaar een grootschalige aanval tegen verschillende netwerken van de persberichtendienst plaatsvond. De aanvallers gebruikten daarbij meerdere exploits voor beveiligingslekken in ColdFusion die tegen ruim 2.000 IP-adressen werden ingezet.

Het is onduidelijk of de aanvallen uit februari succesvol waren. Wel merkt Holden op dat de aanvallen werden aangestuurd vanaf een server die door dezelfde groep cybercriminelen werd gebruikt die in maart wisten in te breken. Daaruit blijkt volgens de beveiligingsonderzoeker dat de persberichtendienst een bewust gekozen doelwit was. "Als deze [eerste] aanval tot een inbraak leidde, is het mogelijk dat de hackers veel langer toegang tot de PR Newswire-infrastructuur hadden dan voorheen gedacht."