W imię Allaha Miłościwego, Miłosiernego… zaatakowano Giełdę Papierów Wartościowych Strona główna Aktualności24.10.2014 09:10 Udostępnij: O autorze Adam Golański @eimi Giełda Papierów Wartościowych ponownie padła ofiarą cyberataku. Tym razem to jednak nie banalny DDoS , mający na celu przeciążenie serwerów. Przedstawiający się jako Wojownicy Allaha hakerzy zdołali, podobno w akcie odwetu za bombardowanie ich kraju, przejąć duży zbiór danych z sieci GPW, w tym dane osobowe użytkowników, adresy e-mailowe i hasła, a nawet mapy infrastruktury. Czy za atakiem faktycznie stoją islamiści? Umieszczona w serwisie pastebin wklejka z linkami do dokumentów, które udało się przejąć z GPW, zaczyna się tradycyjnym pozdrowieniem bismillahi (w imię Allaha, Miłościwego, Miłosiernego), by wyjaśnić, że to koniec pokoju w Europie – naloty bombowe na Państwo Islamskie oznaczać mają otwartą wojnę, prowadzoną asymetrycznymi środkami. Nasi politycy to agresorami, lecz nasi żołnierze są tchórzami, więc setki tysięcy wojowników Boga działających w ukryciu wśród nas, da nam odczuć skutki swoich działań. Nasze pieniądze, dane i życia są pod ich kontrolą, zapewniają w napisanym po angielsku komunikacie. Zawartość przejętych dokumentów potwierdza autentyczność ataku. Choć większość linków już nie działa (widać, że ktoś próbuje opanować sytuację), z łatwością znaleźć można je w sieciach P2P i na innych cyberschowkach. Jest tam sporo ciekawych rzeczy, włącznie z ogromną bazą danych giełdowych traderów, loginami i hasłami administratorów, a nawet skanem wewnętrznej infrastruktury giełdowej, na której hostowany jest m.in. rezerwowy serwer systemu transakcyjnego warszawskiej giełdy. Znalazły się tam też notatki napastnika, z których wynika, że atak zaczął się od SQL Injection na system zarządzania treścią Joomla. W kolejnym etapie udało się umieścić na serwerze webshelle, z których rozpoczęto skanowanie podsieci i dalsze fazy ataku. Zajęło to sporo czasu, co najmniej kilka dni – i najwyraźniej przez ten czas administratorzy GPW niczego nie zauważyli. Oficjalnie GPW potwierdziło, że doszło do włamania, jednak bagatelizuje skalę ataku. W wiadomości rozesłanej do swoich użytkowników informuje: Szanowni Państwo, Uprzejmie informujemy, że z przyczyn niezależnych od Giełdy Papierów Wartościowych w Warszawie S.A. mogło dojść po pozyskania przez podmioty nieuprawnione Państwa archiwalnych danych używanych przy logowaniu do symulatora giełdowego GPW Trader. Bardzo przepraszamy za zaistniałą sytuację i jeśli używali Państwo tych samych haseł w innych serwisach internetowych rekomendujemy ich zmianę. Najwyraźniej wielu użytkowników korzystało z tych samych haseł. Napastnicy dowiedli, że mieli dostęp do prywatnych skrzynek pocztowych, publikując zrzuty z webmaili wielu traderów. Nie odmówili sobie też przyjemności opublikowania nagich zdjęć jednej z użytkowniczek, choć nie wiadomo, jak ta kwestia wygląda w oczach Boga. Trudno tu przedstawić jakiś wyszukany komentarz: zaniedbania administratorów GPW są ewidentne. Korzystanie z Joomli w serwisach o strategicznym znaczeniu, brak „czyszczenia” zapytań SQL, uprawnienia, które pozwoliły na uruchomienie webshelli – to wszystko świadczy jednak o nieprzykładaniu się do pracy. Internet Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Inwestor inny niż pozostali: Śmierć podbiła tokijską giełdę 30 wrz 2014 Karolina Kowasz Biznes 22 „Wycofajcie polskich najemników z Ukrainy!” – atak KiberBerkutu na strony giełdy i Prezydenta 14 sie 2014 Adam Golański Internet 126 Reddit i giełda: społeczność nastraszyła NASDAQ 28 sty Kamil J. Dudek Internet Bezpieczeństwo IT.Pro 35 Warszawa chce się cyfryzować. I robi to kretyńsko 9 kwi Piotr Urbaniak Internet Biznes 145
Udostępnij: O autorze Adam Golański @eimi Giełda Papierów Wartościowych ponownie padła ofiarą cyberataku. Tym razem to jednak nie banalny DDoS , mający na celu przeciążenie serwerów. Przedstawiający się jako Wojownicy Allaha hakerzy zdołali, podobno w akcie odwetu za bombardowanie ich kraju, przejąć duży zbiór danych z sieci GPW, w tym dane osobowe użytkowników, adresy e-mailowe i hasła, a nawet mapy infrastruktury. Czy za atakiem faktycznie stoją islamiści? Umieszczona w serwisie pastebin wklejka z linkami do dokumentów, które udało się przejąć z GPW, zaczyna się tradycyjnym pozdrowieniem bismillahi (w imię Allaha, Miłościwego, Miłosiernego), by wyjaśnić, że to koniec pokoju w Europie – naloty bombowe na Państwo Islamskie oznaczać mają otwartą wojnę, prowadzoną asymetrycznymi środkami. Nasi politycy to agresorami, lecz nasi żołnierze są tchórzami, więc setki tysięcy wojowników Boga działających w ukryciu wśród nas, da nam odczuć skutki swoich działań. Nasze pieniądze, dane i życia są pod ich kontrolą, zapewniają w napisanym po angielsku komunikacie. Zawartość przejętych dokumentów potwierdza autentyczność ataku. Choć większość linków już nie działa (widać, że ktoś próbuje opanować sytuację), z łatwością znaleźć można je w sieciach P2P i na innych cyberschowkach. Jest tam sporo ciekawych rzeczy, włącznie z ogromną bazą danych giełdowych traderów, loginami i hasłami administratorów, a nawet skanem wewnętrznej infrastruktury giełdowej, na której hostowany jest m.in. rezerwowy serwer systemu transakcyjnego warszawskiej giełdy. Znalazły się tam też notatki napastnika, z których wynika, że atak zaczął się od SQL Injection na system zarządzania treścią Joomla. W kolejnym etapie udało się umieścić na serwerze webshelle, z których rozpoczęto skanowanie podsieci i dalsze fazy ataku. Zajęło to sporo czasu, co najmniej kilka dni – i najwyraźniej przez ten czas administratorzy GPW niczego nie zauważyli. Oficjalnie GPW potwierdziło, że doszło do włamania, jednak bagatelizuje skalę ataku. W wiadomości rozesłanej do swoich użytkowników informuje: Szanowni Państwo, Uprzejmie informujemy, że z przyczyn niezależnych od Giełdy Papierów Wartościowych w Warszawie S.A. mogło dojść po pozyskania przez podmioty nieuprawnione Państwa archiwalnych danych używanych przy logowaniu do symulatora giełdowego GPW Trader. Bardzo przepraszamy za zaistniałą sytuację i jeśli używali Państwo tych samych haseł w innych serwisach internetowych rekomendujemy ich zmianę. Najwyraźniej wielu użytkowników korzystało z tych samych haseł. Napastnicy dowiedli, że mieli dostęp do prywatnych skrzynek pocztowych, publikując zrzuty z webmaili wielu traderów. Nie odmówili sobie też przyjemności opublikowania nagich zdjęć jednej z użytkowniczek, choć nie wiadomo, jak ta kwestia wygląda w oczach Boga. Trudno tu przedstawić jakiś wyszukany komentarz: zaniedbania administratorów GPW są ewidentne. Korzystanie z Joomli w serwisach o strategicznym znaczeniu, brak „czyszczenia” zapytań SQL, uprawnienia, które pozwoliły na uruchomienie webshelli – to wszystko świadczy jednak o nieprzykładaniu się do pracy. Internet Udostępnij: © dobreprogramy Zgłoś błąd w publikacji