W imię Allaha Miłościwego, Miłosiernego… zaatakowano Giełdę Papierów Wartościowych Strona główna Aktualności24.10.2014 09:10 Udostępnij: O autorze Adam Golański @eimi Giełda Papierów Wartościowych ponownie padła ofiarą cyberataku. Tym razem to jednak nie banalny DDoS , mający na celu przeciążenie serwerów. Przedstawiający się jako Wojownicy Allaha hakerzy zdołali, podobno w akcie odwetu za bombardowanie ich kraju, przejąć duży zbiór danych z sieci GPW, w tym dane osobowe użytkowników, adresy e-mailowe i hasła, a nawet mapy infrastruktury. Czy za atakiem faktycznie stoją islamiści? Umieszczona w serwisie pastebin wklejka z linkami do dokumentów, które udało się przejąć z GPW, zaczyna się tradycyjnym pozdrowieniem bismillahi (w imię Allaha, Miłościwego, Miłosiernego), by wyjaśnić, że to koniec pokoju w Europie – naloty bombowe na Państwo Islamskie oznaczać mają otwartą wojnę, prowadzoną asymetrycznymi środkami. Nasi politycy to agresorami, lecz nasi żołnierze są tchórzami, więc setki tysięcy wojowników Boga działających w ukryciu wśród nas, da nam odczuć skutki swoich działań. Nasze pieniądze, dane i życia są pod ich kontrolą, zapewniają w napisanym po angielsku komunikacie. Zawartość przejętych dokumentów potwierdza autentyczność ataku. Choć większość linków już nie działa (widać, że ktoś próbuje opanować sytuację), z łatwością znaleźć można je w sieciach P2P i na innych cyberschowkach. Jest tam sporo ciekawych rzeczy, włącznie z ogromną bazą danych giełdowych traderów, loginami i hasłami administratorów, a nawet skanem wewnętrznej infrastruktury giełdowej, na której hostowany jest m.in. rezerwowy serwer systemu transakcyjnego warszawskiej giełdy. Znalazły się tam też notatki napastnika, z których wynika, że atak zaczął się od SQL Injection na system zarządzania treścią Joomla. W kolejnym etapie udało się umieścić na serwerze webshelle, z których rozpoczęto skanowanie podsieci i dalsze fazy ataku. Zajęło to sporo czasu, co najmniej kilka dni – i najwyraźniej przez ten czas administratorzy GPW niczego nie zauważyli. Oficjalnie GPW potwierdziło, że doszło do włamania, jednak bagatelizuje skalę ataku. W wiadomości rozesłanej do swoich użytkowników informuje: Szanowni Państwo, Uprzejmie informujemy, że z przyczyn niezależnych od Giełdy Papierów Wartościowych w Warszawie S.A. mogło dojść po pozyskania przez podmioty nieuprawnione Państwa archiwalnych danych używanych przy logowaniu do symulatora giełdowego GPW Trader. Bardzo przepraszamy za zaistniałą sytuację i jeśli używali Państwo tych samych haseł w innych serwisach internetowych rekomendujemy ich zmianę. Najwyraźniej wielu użytkowników korzystało z tych samych haseł. Napastnicy dowiedli, że mieli dostęp do prywatnych skrzynek pocztowych, publikując zrzuty z webmaili wielu traderów. Nie odmówili sobie też przyjemności opublikowania nagich zdjęć jednej z użytkowniczek, choć nie wiadomo, jak ta kwestia wygląda w oczach Boga. Trudno tu przedstawić jakiś wyszukany komentarz: zaniedbania administratorów GPW są ewidentne. Korzystanie z Joomli w serwisach o strategicznym znaczeniu, brak „czyszczenia” zapytań SQL, uprawnienia, które pozwoliły na uruchomienie webshelli – to wszystko świadczy jednak o nieprzykładaniu się do pracy. Internet Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Inwestor inny niż pozostali: Śmierć podbiła tokijską giełdę 30 wrz 2014 Karolina Kowasz Biznes 22 „Wycofajcie polskich najemników z Ukrainy!” – atak KiberBerkutu na strony giełdy i Prezydenta 14 sie 2014 Adam Golański Internet 126 Jeździsz autobusem po Warszawie? Przez internet możesz "zawiesić" długoterminowy bilet 17 mar 2020 Oskar Ziomek Internet Biznes Koronawirus 40 "Porwanie dziecka ze szpitala zakaźnego". CERT Polska ostrzega przed kolejnym atakiem 17 mar 2020 Piotr Urbaniak Internet Bezpieczeństwo 11
Udostępnij: O autorze Adam Golański @eimi Giełda Papierów Wartościowych ponownie padła ofiarą cyberataku. Tym razem to jednak nie banalny DDoS , mający na celu przeciążenie serwerów. Przedstawiający się jako Wojownicy Allaha hakerzy zdołali, podobno w akcie odwetu za bombardowanie ich kraju, przejąć duży zbiór danych z sieci GPW, w tym dane osobowe użytkowników, adresy e-mailowe i hasła, a nawet mapy infrastruktury. Czy za atakiem faktycznie stoją islamiści? Umieszczona w serwisie pastebin wklejka z linkami do dokumentów, które udało się przejąć z GPW, zaczyna się tradycyjnym pozdrowieniem bismillahi (w imię Allaha, Miłościwego, Miłosiernego), by wyjaśnić, że to koniec pokoju w Europie – naloty bombowe na Państwo Islamskie oznaczać mają otwartą wojnę, prowadzoną asymetrycznymi środkami. Nasi politycy to agresorami, lecz nasi żołnierze są tchórzami, więc setki tysięcy wojowników Boga działających w ukryciu wśród nas, da nam odczuć skutki swoich działań. Nasze pieniądze, dane i życia są pod ich kontrolą, zapewniają w napisanym po angielsku komunikacie. Zawartość przejętych dokumentów potwierdza autentyczność ataku. Choć większość linków już nie działa (widać, że ktoś próbuje opanować sytuację), z łatwością znaleźć można je w sieciach P2P i na innych cyberschowkach. Jest tam sporo ciekawych rzeczy, włącznie z ogromną bazą danych giełdowych traderów, loginami i hasłami administratorów, a nawet skanem wewnętrznej infrastruktury giełdowej, na której hostowany jest m.in. rezerwowy serwer systemu transakcyjnego warszawskiej giełdy. Znalazły się tam też notatki napastnika, z których wynika, że atak zaczął się od SQL Injection na system zarządzania treścią Joomla. W kolejnym etapie udało się umieścić na serwerze webshelle, z których rozpoczęto skanowanie podsieci i dalsze fazy ataku. Zajęło to sporo czasu, co najmniej kilka dni – i najwyraźniej przez ten czas administratorzy GPW niczego nie zauważyli. Oficjalnie GPW potwierdziło, że doszło do włamania, jednak bagatelizuje skalę ataku. W wiadomości rozesłanej do swoich użytkowników informuje: Szanowni Państwo, Uprzejmie informujemy, że z przyczyn niezależnych od Giełdy Papierów Wartościowych w Warszawie S.A. mogło dojść po pozyskania przez podmioty nieuprawnione Państwa archiwalnych danych używanych przy logowaniu do symulatora giełdowego GPW Trader. Bardzo przepraszamy za zaistniałą sytuację i jeśli używali Państwo tych samych haseł w innych serwisach internetowych rekomendujemy ich zmianę. Najwyraźniej wielu użytkowników korzystało z tych samych haseł. Napastnicy dowiedli, że mieli dostęp do prywatnych skrzynek pocztowych, publikując zrzuty z webmaili wielu traderów. Nie odmówili sobie też przyjemności opublikowania nagich zdjęć jednej z użytkowniczek, choć nie wiadomo, jak ta kwestia wygląda w oczach Boga. Trudno tu przedstawić jakiś wyszukany komentarz: zaniedbania administratorów GPW są ewidentne. Korzystanie z Joomli w serwisach o strategicznym znaczeniu, brak „czyszczenia” zapytań SQL, uprawnienia, które pozwoliły na uruchomienie webshelli – to wszystko świadczy jednak o nieprzykładaniu się do pracy. Internet Udostępnij: © dobreprogramy Zgłoś błąd w publikacji