25.10.2015 | 06:53

Adam Haertle

Podobno to Rosjanie stali za zeszłorocznym atakiem na Giełdę Papierów Wartościowych

Rok temu dowiedzieliśmy się, że GPW padła ofiarą włamywaczy i poważnego wycieku danych. Według Bloomberga za atakiem stała rosyjska grupa, która odpowiada między innymi także za włamanie do TV5 i uszkodzenie pieca niemieckiej huty.

W ostatnim roku nie brakuje ciekawych incydentów, które do tej pory nie były przypisane konkretnemu atakującemu. Bloomberg twierdzi, że za sporą ich częścią stoi grupa rosyjskich włamywaczy, którzy posiadają wysoki poziom umiejętności i są luźno związani z instytucjami rządowymi.

Zeszłoroczne włamanie do GPW

Przypomnijmy – dokładnie rok temu w serwisie Pastebin znalazło się kilka wpisów dokonanych przez grupę stojącą za wyciekiem danych z sieci i systemów GPW. Atakujący się nie podpisali, lecz w swoich tekstach wzywali Allaha. Do sieci trafiły dane pochodzące z wielu systemów GPW, w tym kilkadziesiąt tysięcy danych kont użytkowników systemów zarządzanych przez GPW, schematy sieci i dane pochodzące ze skrzynek pocztowych osób z innych instytucji zaangażowanych w obrót giełdowy. Przeprowadzona przez nas analiza wycieku wykazała, że wszystkie ujawnione systemy znajdowały się w osobnej podsieci, która była odseparowana od sieci w której znajdowały się systemy prowadzące rzeczywiste operacje giełdowe. Nie umniejsza to jednak skali incydentu – to jeden z najpoważniejszych ataków na polską infrastrukturę krytyczną. Co również ważne, atakujący znajdowali się w sieci GPW przez dłuższy czas, a w ostatnich dniach przed wyciekiem wiedzieli o tym administratorzy GPW, którzy nie potrafili sobie poradzić z ich wyeliminowaniem.

Hasła administratorów

Hasła administratorów

Długa lista ofiar APT28

Najnowsza publikacja Bloomberga przypisuje zeszłoroczny atak na GPW rosyjskiej grupie cyberprzestępczej zwanej APT 28 / Pawn Storm / Fancy Bear. Ta sama grupa stoi między innymi za opisywanymi przez nas atakami na prywatne skrzynki pocztowe pracowników MON, atakami spear phishing na polskie urzędy czy zainfekowaniem witryny autora konceptu nowego polskiego czołgu.  Do tej listy Bloomberg dopisuje dużo głośniejsze ataki.

Jednym z najciekawszych sukcesów grupy jest rzekomo doprowadzenie do awarii pieca hutniczego firmy ThyssenKrupp AG za pomocą złośliwego oprogramowania Havex. Jest to incydent od dawna opisywany w mediach, jednak do tej pory brak było dokładnych informacji o ofierze i sprawcach, w raportach pojawiał się jedynie jako źródło poważnych strat spowodowanych atakiem cybernetycznym. Wygląda na to, że zakłóceniem pracy wielkiego pieca do wytopu stali oraz związanymi z tym stratami mogli stać rosyjscy włamywacze. Najpierw przejęli kontrolę nad siecią biurową firmy, następnie znaleźli sposób połączenia się z siecią produkcyjną, tam zlokalizowali piec do wytopu i poznawszy architekturę jego oprogramowania sterującego wyłączyli alerty ostrzegawcze i dostarczyli za dużo paliwa, prowadząc do bardzo poważnej w skutkach awarii.

Podobno ci sami atakujący byli sprawcami fatalnego w skutkach włamania do sieci francuskiej stacji telewizyjnej TV5. W tamtym ataku włamywacze przejęli prawie całą infrastrukturę firmy, doprowadzając do wyłączenia transmisji 11 kanałów i zmuszając stację do emitowania przez wiele dni materiałów zastępczych oraz do rezygnacji z wielu planów redakcyjnych w roku 2015 w celu wprowadzenia oszczędności w obliczu sporych strat finansowych. Wśród znanych celów były także między innymi systemy pocztowe Białego Domu, Izby Reprezentantów oraz Departamentu Stanu.

Kim są włamywacze

Większość badaczy zgadza się z teorią, że atakujący są raczej hakerami działającymi głównie na własną rękę, korzystając z pobłażliwej polityki rosyjskiego rządu wobec włamywaczy i cyberprzestępców, którzy koncentrują swoją działalność poza granicami Rosji. Dobrze wyszkoleni, tworzący własne, zaawansowane oprogramowanie, odwdzięczają się rządowi przeprowadzając akcje zgodne z jego polityką i zbierając dane o strategicznym znaczeniu dla polityki Rosji. Ślady aktywności grupy prowadzą do roku 2007 i nic nie wskazuje na to, by miała ona zaprzestać swojej działalności.

Aktualizacja: Źródła zbliżone do dobrze poinformowanych sugerują, że atak na Thyssena, którego przebieg został opisany przez Bloomberga, nie powinien być przypisywany APT28.

Powrót

Komentarze

  • 2015.10.25 07:01 M

    APT28 to nie havex

    Odpowiedz
  • 2015.10.25 07:57 Putin

    Plotki i spekulacje!

    Odpowiedz
    • 2015.10.25 08:30 root gdr

      To jest akurat wielce prawdopodobne, ze ruskie za tym stoi. Zwłaszcza, że twoja Rosja ostatnio coraz częściej zaczyna wymachiwać szabelką i nawet pisać historię na nowo. Choćby to, że to Polska napadła na Rosję w czasie II WŚ.

      Odpowiedz
      • 2015.10.25 10:34 ja

        ’wielce prawdopodobne” , „wymachiwać szabelką” , „pisać historię na nowo” = niezwykle konkretny post….

        Odpowiedz
        • 2015.10.25 12:24 rootger

          Największe agencje wywiadowcze, posiadające najnowocześniejszy sprzęt miałyby problem z przedstawieniem dowodów, a ktoś chce tutaj dowodów od autora lub ode mnie, i to niezbitych. Dlatego w tym przypadku można jedynie domniemywać kto za to jest odpowiedzialny. Poszlak jest wiele, które wskazują na putinowską Rosję. Chińczyków mało interesi Polska, a USA nigdy jeszcze nie została złapana za rękę, w sprawie hakowania infrastruktury krytycznej sojuszniczego kraju.

          Odpowiedz
          • 2015.10.25 17:10 ja

            no to jakie są te poszlaki / analiza ? ; ponoć w internecie nie ma anonimowości?
            a w tym artykule bloomberga tez sama beletrystyka…

          • 2015.10.25 19:23 Big Dog

            „USA nigdy jeszcze nie została złapana za rękę, w sprawie hakowania infrastruktury krytycznej sojuszniczego kraju”
            .
            Nie masz racji!
            Akurat Jankesi podsłuchują każdego, także sojuszników. Vide „najświeższa” – bo sprzed około roku – sprawa podsłuchiwania Niemiec przez Jankesów.
            USA, UK, Izrael, Rosja, Chiny, podsłuchują każdego: sojusznika i wroga. W świecie wielkiej polityki sojusze są tylko czasowe i – jak się często okazuje – iluzoryczne.
            .
            Bardziej perfidnie już się nie da, ale na pewnym poziomie działania masz w dupie wszelkie zasady – tak działają służby opresyjnych państw które wymieniłem. Polskie (niektóre) służby też by tak robiły gdyby mogły, choć na razie dopiero budują swoje cybernetyczne zaplecze. Za to mają dobre kontakty z Jankesami (szczególnie AW i ABW) a to już coś.

          • 2015.10.26 06:05 root ger

            @Big Dog Podsłuchiwanie nie jest infrastrukturą krytyczną. W Niemczech zhakowali hutę i ją porządnie uszkodzili oraz tym samym wyłączyli na wiele miesięcy. Jak piec hutniczy się wyłączy, to ponowne jego uruchomienie nie jest takie proste. Poza tym kosztuje miliony euro. A huta jest ważna dla obronności kraju. To w niej produkuje się pancerze czołgow, moździerze, różne stalowe elementy. Kolejnym przykładem takiej infrastruktury jest np. elektrownie (w tym atomowe).

            @ja Skup się. O jednym już napisałem. Chiny mają nasz kraj gdzieś, Hamburgery zazwyczaj nie atakują sojuszników, a z putinowską Rosją jesteśmy na wojennej ścieżce…

          • 2015.10.28 16:49 Marek

            A o szpiegowaniu Francji (o Niemczech już kolega wspomniał) zapomniałeś? Podsłuchiwano i wykradziono wiele danych od polityków i biznesmenów, którzy prowadzili negocjacje handlowe z Amerykanami. Nie wiem, co gorsze, włamać się do obcej firmy czy perfidnie podsłuchiwać i oszukiwać sojusznika i narazić go na wieloletnie i wielomilionowe straty?

          • 2015.10.29 08:33 rootger

            @Marek Słowo klucz INFRASTRUKTURA KRYTYCZNA. To że każdy każdego podsłuchuje i zbiera dane jakie się tylko da, każdy o tym wie i dla nikogo nie powinno być żadnym zaskoczeniem. Przynajmniej dla interesujących się tematem.

          • 2015.10.29 14:53 Marek

            @rootger, no właśnie, czy tamta huta należała do INFRASTRUKTURY KRYTYCZNEJ, bo nie wiem czy wiesz, ale nie każda huta jest ważna dla kraju ;-) I chyba Niemcy mają więcej niż jedną hutę, więc awaria jednej (może nawet mniej ważnej) ich nie rusza (pomijam straty finansowe prywatnej firmy, bo i tak sobie odbiją na kliantach). A komentarz dot. podsłuchiwania sojuszników NATO pominę milczeniem.

          • 2015.10.29 16:55 rootger

            Nikt nie napisze tego nigdzie, tajemnica. Dlatego nie wiem czy taką była. Wiem jednak, że przy tak zaawansowanych środkach podjętych przez atakujących, musieli mieć skądś wiedze, że była infrastrukturą krytyczną. W ciemno by nie walili, byłoby to bez najmniejszego sensu.

            Sojusznicy NATO, ktorzy nie zrobią sobie krzywdy. Takie coś, jak podsłuchiwanie starszej siostry rozmawiającej przez fona z chłopakiem. BEZ OBAW :)

      • 2015.10.25 10:47 Rozbawiony

        No tak, bo oczywiscie zachod jest swiety „polskie obozy” staly sie juz standardem. Ty gosciu chyba nie wiesz w jakim swiecie zyjesz – i Rosja+Chiny, i USA (oraz ich polecznicy) to jedna i TA SAMA banda, zwykli mordercy i ordynarni klamcy. Radze sie obudzic.

        Odpowiedz
        • 2015.10.30 18:10 rootger

          A jak to się ma do treści wpisu? xD

          Odpowiedz
      • 2015.10.26 11:30 ja

        PANIE ROOTGER; ja się już skupiałem, natomiast Pan jesteś wybitnie rozkojarzony…pisałem -podaj Pan jakieś poszlaki tych działań, choćby link lub analizę ruchu sieci? – nic nie napisałeś- a to że z „putinowską Rosją jesteśmy na wojennej ścieżce” nie świadczy, że to akurat byli oni — uwielbian takie gadanie po próżnicy, zwłaszcza bez dowodów

        Odpowiedz
        • 2015.10.27 00:51 rootger

          A nie wpadł pan na to, że dlatego nie ma konkretnych info na temat ataków, że są to dane objęte śledztwem? A danych ze śledztwa nikt nie będzie ujawniać wcześniej, niż zrobi to prokuratura w sądzie? Przecież ujawnianie danych ze śledztwa jest karalne. A pan robisz ze mnie prokuratora, ktorym przecież nie jestem i chcesz abym podawał dane, ktorych nie mogę posiadać. Zwłaszcza, że to są śledztwa o najwyższym priorytecie, ktore są pod osłoną specsłużb.

          Odpowiedz
        • 2015.10.27 09:58 root ger

          Dodam jeszcze na marginesie, że Bloomberg zapewne ma potwierdzone i wiarygodne źródło informacji, na podstawie ktorego napisali artykuł. Ujawnili tyle ile mogli, a o reszcie dowiemy się zapewne po zakończeniu toczącego się śledztwa.

          Odpowiedz
          • 2015.10.27 16:59 ja

            „”Ujawnili tyle ile mogli, a o reszcie dowiemy się zapewne po zakończeniu toczącego się śledztwa”” –oj naiwny naiwny…

          • 2015.10.29 08:26 rootger

            Albo i nie ;p

  • 2015.10.25 15:05 Wladmiir

    Takie wirusy można kupić w każdym sklepie z wirusami.

    Odpowiedz
  • 2015.10.25 16:20 ant_

    Sam robiłem kiedyś pentest dla pewnej instytucji rządowej znajdującej się w bezpośrednim otoczeniu giełdy i widziałem ruskie haxy, Zeusy itp..

    Odpowiedz
    • 2015.10.26 15:38 Igor

      To mieliśmy ten sam sen, bo śniło mi się dokładnie to co Tobie :)

      Odpowiedz
  • 2015.10.26 14:19 smutno

    Jankes zawinił, Ruskiego powiesili…

    Odpowiedz
  • 2015.10.26 14:35 TheNormalOne

    Chyba nasze BlackOps po coś istnieją. Trzeba dać jasny przekaz, że może i się uda włamać, ale …

    Odpowiedz
  • 2015.10.26 15:03 Ant_

    A mieli mozliwosc zdalnego wysuwania tacki od cd-romu ? To podobno bylo najgorsze poniewaz na calej gpw niewiedzieli co jest grane

    Odpowiedz

Zostaw odpowiedź do Rozbawiony

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Podobno to Rosjanie stali za zeszłorocznym atakiem na Giełdę Papierów Wartościowych

Komentarze