W imię Allaha Miłościwego, Miłosiernego… zaatakowano Giełdę Papierów Wartościowych

O autorze

Adam Golański

@eimi

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Giełda Papierów Wartościowych ponownie padła ofiarą cyberataku. Tym razem to jednak nie banalny DDoS , mający na celu przeciążenie serwerów. Przedstawiający się jako Wojownicy Allaha hakerzy zdołali, podobno w akcie odwetu za bombardowanie ich kraju, przejąć duży zbiór danych z sieci GPW, w tym dane osobowe użytkowników, adresy e-mailowe i hasła, a nawet mapy infrastruktury.

Czy za atakiem faktycznie stoją islamiści? Umieszczona w serwisie pastebin wklejka z linkami do dokumentów, które udało się przejąć z GPW, zaczyna się tradycyjnym pozdrowieniem bismillahi (w imię Allaha, Miłościwego, Miłosiernego), by wyjaśnić, że to koniec pokoju w Europie – naloty bombowe na Państwo Islamskie oznaczać mają otwartą wojnę, prowadzoną asymetrycznymi środkami. Nasi politycy to agresorami, lecz nasi żołnierze są tchórzami, więc setki tysięcy wojowników Boga działających w ukryciu wśród nas, da nam odczuć skutki swoich działań. Nasze pieniądze, dane i życia są pod ich kontrolą, zapewniają w napisanym po angielsku komunikacie.

Zawartość przejętych dokumentów potwierdza autentyczność ataku. Choć większość linków już nie działa (widać, że ktoś próbuje opanować sytuację), z łatwością znaleźć można je w sieciach P2P i na innych cyberschowkach. Jest tam sporo ciekawych rzeczy, włącznie z ogromną bazą danych giełdowych traderów, loginami i hasłami administratorów, a nawet skanem wewnętrznej infrastruktury giełdowej, na której hostowany jest m.in. rezerwowy serwer systemu transakcyjnego warszawskiej giełdy.

Znalazły się tam też notatki napastnika, z których wynika, że atak zaczął się od SQL Injection na system zarządzania treścią Joomla. W kolejnym etapie udało się umieścić na serwerze webshelle, z których rozpoczęto skanowanie podsieci i dalsze fazy ataku. Zajęło to sporo czasu, co najmniej kilka dni – i najwyraźniej przez ten czas administratorzy GPW niczego nie zauważyli.

Oficjalnie GPW potwierdziło, że doszło do włamania, jednak bagatelizuje skalę ataku. W wiadomości rozesłanej do swoich użytkowników informuje:

Szanowni Państwo,

Uprzejmie informujemy, że z przyczyn niezależnych od Giełdy Papierów Wartościowych w Warszawie S.A. mogło dojść po pozyskania przez podmioty nieuprawnione Państwa archiwalnych danych używanych przy logowaniu do symulatora giełdowego GPW Trader.

Bardzo przepraszamy za zaistniałą sytuację i jeśli używali Państwo tych samych haseł w innych serwisach internetowych rekomendujemy ich zmianę.

Najwyraźniej wielu użytkowników korzystało z tych samych haseł. Napastnicy dowiedli, że mieli dostęp do prywatnych skrzynek pocztowych, publikując zrzuty z webmaili wielu traderów. Nie odmówili sobie też przyjemności opublikowania nagich zdjęć jednej z użytkowniczek, choć nie wiadomo, jak ta kwestia wygląda w oczach Boga.

Trudno tu przedstawić jakiś wyszukany komentarz: zaniedbania administratorów GPW są ewidentne. Korzystanie z Joomli w serwisach o strategicznym znaczeniu, brak „czyszczenia” zapytań SQL, uprawnienia, które pozwoliły na uruchomienie webshelli – to wszystko świadczy jednak o nieprzykładaniu się do pracy.