Statement zum Gema Hack

1. # ######
2. # # # # #### # # # # # # # # # # # ###### #####
3. # # ## # # # ## # # # # # # # ## # # # #
4. # # # # # # # # # # # ###### # # # # # # ##### ####
5. ####### # # # # # # # # # # # ## # # # # # # #
6. # # # ## # # # ## # # ## ## # ## # # # #
7. # # # # #### # # # # # # # # # ###### ####
8.  
9. Sehr geehrte Damen und Herren,
10. wir sind AnonyPwnies.
11.  
12. Wir haben die Webseite der Gema nicht mit einer DDoS Attacke lahmgelegt, sondern sind über eine Lücke im Webserver der Gema in diesen und auch in das interne Firmennetzwerk eingedrungen.
13.  
14. Das Bild, dass momentan im Internet herumschwirrt, wurde von uns veröffentlicht.
15. Link: http://img6.imagebanana.com/img/y9w4hc23/calvin.png
16.  
17. Der Server der Gema steht im Intranet, wir haben einen Reverse Socks Server zum Laufen bekommen und hatten somit eine Verbindung in das interne Netzwerk.
18.  
19. Als Nächstes haben wir das Subnet gescannt, dabei sind uns ein paar große Dell Server aufgefallen.
20.  
21. Die Server haben ein Dell DRAC System, welches per IP zu erreichen ist. Das ist vergleichbar mit einem Netzwerk KVM. Das Passwort um sich an diesem System anzumelden wird bei der Installation gesetzt und hat laut Dokumentation natürlich geändert zu werden. Das ist offensichtlich nicht passiert, sodass wir uns ohne größere Probleme in das System einloggen konnten.
22. Standardpasswort (root:calvin, aus der Dokumentation des Systems zu entnehmen)
23.  
24. Dann wurde das System neu gestartet und z.B. nach dieser Anleitung:
25. http://www.petri.co.il/vmware-esx-server-root-password-reset-recovery-lost.htm
26. das root Passwort geändert.
27.  
28. Auf der Maschine waren dann allerlei Datastorages verbunden. Etwas über 30TB.
29. Einiges davon haben wir kopiert.
30.  
31. Zusätzlich hatten wir noch Zugriff auf mehrere Drucker und VMs.
32.  
33. Diese Informationen dürfen zur Verbesserung der deutschen Infrastruktur gerne veröffentlicht werden.
34.  
35. Mit freundlichen Grüßen
36. AnonyPwnies