GPW walczyła z włamywaczami od co najmniej 10 dni

dodał 24 października 2014 o 11:09 w kategorii Włamania  z tagami:
GPW walczyła z włamywaczami od co najmniej 10 dni

Z wiarygodnego źródła otrzymaliśmy informację, że pracownicy GPW wiedzieli o włamaniu do swojej sieci od co najmniej 10 dni. Co prawda podjęli próby usunięcia włamywaczy z systemów, ale początkowo były to próby nieudane.

Opisane przez nas wczoraj włamanie do GPW i powiązany z nim wyciek danych prawdopodobnie zaczęły się wiele dni temu. Wczoraj zostały o nim poinformowane media, co najwyraźniej skłoniło firmę do bardziej zdecydowanego działania.

Problemy od wielu dni

Wiarygodne źródło poinformowało nas, że pierwsze symptomy nieautoryzowanej aktywności w sieci GPW zostały odkryte co najmniej 10 dni temu. Pierwszy na niepokojące zachowanie jednego z serwerów zwrócił uwagę zespół odpowiedzialny za administrację maszyną. Przy pomocy zespołu odpowiedzialnego za funkcjonowanie sieci udało się potwierdzić, że serwer generuje nieautoryzowany ruch i przeprowadza skany sieci wewnętrznych.

Szybko zostały podjęte działania naprawcze, polegające co najmniej na przeinstalowaniu serwera oraz zmianie powiązanych z nim haseł. Niestety okazało się, że to nie wystarczyło, a włamywacze nadal posiadają dostęp do sieci wewnętrznej przedsiębiorstwa.

Wszystko wskazuje na to, że pierwszym przyczółkiem włamywaczy mógł być jeden z dwóch serwisów: gpwtrader.pl lub utp.gpw.pl. W serwisie prawdopodobnie odkryto błąd typu SQLi, za pomocą którego uzyskano dostęp do systemu. W kolejnych krokach włamywacze zdążyli przeskanować większość dostępnych zakresów adresacji wewnętrznej w poszukiwaniu innych podatności i prawdopodobnie zdobyli uprawnienia roota na co najmniej jednej maszynie (wskazuje na to obecność danych z pliku /etc/shadow).

Radykalne działania

Wczoraj około południa do mediów trafiła informacja, wysłana prawdopodobnie przez włamywaczy, z linkiem do serwisu Pastebin, w którym umieszczono wykradzione z GPW materiały. Krótko potem większość serwerów WWW spółki została wyłączona. Główny serwer wrócił po kilku godzinach, jednak spora część stron nie działa do tej pory. Posiadane przez nas informacje wskazują, że włamywacze najprawdopodobniej uzyskali dostęp co najmniej do następujących serwisów:

GPW rozesłała także komunikaty, częściowo potwierdzające zakres włamania.

Giełda Papierów Wartościowych informuje, że z przyczyn od niej niezależnych mogło dojść po pozyskania przez podmioty nieuprawnione archiwalnych danych używanych do logowania do Szkolnej Internetowej Gry Giełdowej i symulatora giełdowego GPW Trader.

Jednocześnie informujemy, że zaistniała sytuacja pozostaje bez wpływu na prawidłowe funkcjonowanie i bezpieczeństwo systemu transakcyjnego Giełdy.

Szanowni Państwo,

Uprzejmie informujemy, że z przyczyn niezależnych od Giełdy Papierów Wartościowych w Warszawie S.A. mogło dojść po pozyskania przez podmioty nieuprawnione Państwa archiwalnych danych używanych w związku z udziałem w projekcie wdrożenia systemu UTP.

Bardzo przepraszamy za zaistniałą sytuację i jeśli używali Państwo tych samych haseł w innych serwisach internetowych rekomendujemy ich zmianę.

Giełda Papierów Wartościowych SA

Słabe hasła

Niestety dane, udostępnione przez włamywaczy, wskazują na trwałą bolączkę większości firm na całym świecie, czyli beznadziejnie słabe hasła użytkowników oraz administratorów. O ile tych pierwszych można jeszcze przeboleć, to ci drudzy powinni zmienić swoje nawyki – i to szybko. Nie wiemy, z jakiego systemu pochodzą te dane, ale ich format wskazuje na zrzut z kontrolera domeny.

Hasła administratorów

Hasła administratorów

Dobra wiadomość?

Wszystko wskazuje na to, że choć zakres włamania był większy, niż wskazują na to oficjalne komunikaty GPW, to wszystkie zaatakowane serwery znajdowały się w tej samej podsieci, odseparowanej od pozostałych systemów giełdy. Nie natrafiliśmy do tej pory na informacje wskazujące, by włamywacze dotarli do głównych systemów transakcyjnych. To chyba jedyna dobra wiadomość w tej sprawie.