W imię Allaha Miłościwego, Miłosiernego… zaatakowano Giełdę Papierów Wartościowych

Giełda Papierów Wartościowych ponownie padła ofiarącyberataku. Tym razem to jednak nie banalny DDoS , mający na celuprzeciążenie serwerów. Przedstawiający się jako Wojownicy Allahahakerzy zdołali, podobno w akcie odwetu za bombardowanie ich kraju,przejąć duży zbiór danych z sieci GPW, w tym dane osoboweużytkowników, adresy e-mailowe i hasła, a nawet mapyinfrastruktury.

Czy za atakiem faktycznie stojąislamiści? Umieszczona wserwisie pastebin wklejka z linkami do dokumentów, które udałosię przejąć z GPW, zaczyna się tradycyjnym pozdrowieniem*bismillahi *(w imię Allaha, Miłościwego, Miłosiernego), bywyjaśnić, że to koniec pokoju w Europie – naloty bombowe naPaństwo Islamskie oznaczać mają otwartą wojnę, prowadzonąasymetrycznymi środkami. Nasi politycy to agresorami, lecz nasiżołnierze są tchórzami, więc setki tysięcy wojowników Bogadziałających w ukryciu wśród nas, da nam odczuć skutki swoichdziałań. Nasze pieniądze, dane i życia są pod ich kontrolą,zapewniają w napisanym po angielsku komunikacie.

Zawartość przejętych dokumentówpotwierdza autentyczność ataku. Choć większość linków już niedziała (widać, że ktoś próbuje opanować sytuację), z łatwościąznaleźć można je w sieciach P2P i na innych cyberschowkach. Jesttam sporo ciekawych rzeczy, włącznie z ogromną bazą danychgiełdowych traderów, loginami i hasłami administratorów, a nawetskanem wewnętrznej infrastruktury giełdowej, na której hostowanyjest m.in. rezerwowy serwer systemu transakcyjnego warszawskiejgiełdy.

Znalazły się tam też notatkinapastnika, z których wynika, że atak zaczął się od SQLInjection na system zarządzania treścią Joomla. W kolejnym etapieudało się umieścić na serwerze webshelle, z których rozpoczętoskanowanie podsieci i dalsze fazy ataku. Zajęło to sporo czasu, conajmniej kilka dni – i najwyraźniej przez ten czas administratorzyGPW niczego nie zauważyli.

Oficjalnie GPW potwierdziło, żedoszło do włamania, jednak bagatelizuje skalę ataku. W wiadomościrozesłanej do swoich użytkowników informuje:

Szanowni Państwo,

Uprzejmie informujemy, że z przyczynniezależnych od Giełdy Papierów Wartościowych w Warszawie S.A.mogło dojść po pozyskania przez podmioty nieuprawnione Państwaarchiwalnych danych używanych przy logowaniu do symulatoragiełdowego GPW Trader.

Bardzo przepraszamy za zaistniałąsytuację i jeśli używali Państwo tych samych haseł w innychserwisach internetowych rekomendujemy ich zmianę.

Najwyraźniej wielu użytkownikówkorzystało z tych samych haseł. Napastnicy dowiedli, że mielidostęp do prywatnych skrzynek pocztowych, publikując zrzuty zwebmaili wielu traderów. Nie odmówili sobie też przyjemnościopublikowania nagich zdjęć jednej z użytkowniczek, choć niewiadomo, jak ta kwestia wygląda w oczach Boga.

Trudno tu przedstawić jakiś wyszukanykomentarz: zaniedbania administratorów GPW są ewidentne.Korzystanie z Joomli w serwisach o strategicznym znaczeniu, brak„czyszczenia” zapytań SQL, uprawnienia, które pozwoliły nauruchomienie webshelli – to wszystko świadczy jednak onieprzykładaniu się do pracy.