В Абу-Даби состоялся The Standoff: киберсражение за город вышло на международную арену
Турнир прошел на одной из самых известных международных конференций по кибербезопасности HITB+ CyberWeek[1] лучшими стали специалисты из России
В Объединенных Арабских Эмиратах была построена реалистичная модель цифрового мегаполиса для проведения трехдневного турнира The Standoff («Противостояние»), в котором приняли участие более 60 специалистов по ИБ из разных стран. Атакующие команды (red teams) пытались украсть деньги из банка, спровоцировать разлив нефти, парализовать железнодорожное сообщение, устроить транспортный коллапс и свести с ума уличное освещение виртуального города. Им противостояли группы специалистов по безопасности (blue teams).
The Standoff — не просто одна из игр типа capture the flag. В отличие от классического CTF, на площадке присутствуют не только атакующие, но и защитники. Инфраструктура города Kabakas представлена в виде большого макета площадью около 17 квадратных метров, который дает зрителям возможность наблюдать последствия атак. Для управления объектами используются современные системы и оборудование (АСУ ТП, ДБО, автоматизация зданий). Это позволяет профессионалам моделировать реальные ситуации, оттачивая навыки защиты информации и мониторинга безопасности. Соревнование впервые прошло на форуме по практической безопасности PHDays в 2016 году в Москве, организатором которого является Positive Technologies.
От колеса обозрения до химического завода
В The Standoff приняли участие три команды защитников и 9 команд атакующих. Защитники обеспечивали безопасность трех городских предприятий — нефтехимического, транспортного и энергетического. Среди объектов были завод по производству аммиака и электрическая подстанция, нефтехранилище и транспортный узел для перевозки нефтепродуктов, железная дорога, системы управления светофорами и уличным освещением, системы отопления и кондиционирования — и даже колесо обозрения. В городе также был свой банк.
«Многие команды, привыкшие к классическому сбору флагов CTF, не сразу разобрались, как действовать наиболее эффективно, — отметил один из организаторов The Standoff Михаил Левин. — Как и в реальной жизни, на The Standoff можно было использовать практически все излюбленные хакерские техники. И даже больше: только умелая их комбинация позволит победить в Противостоянии. Специалисты, игравшие "за плохих парней", могли осуществлять настоящие APT-атаки или даже диверсии, такие как разлив нефти, отключение городского освещения или аварии на железной дороге. Подобные угрозы интернациональны, и подготовка к ним должна вестись не только в теории. В реальной жизни службы ИБ, как правило, имеют ограниченный набор средств защиты, поэтому у наших защитников были лишь системы NGFW и WAF, которые тем не менее очень сильно осложняли жизнь хакерам. Все атаки в лоб автоматически блокировались этими средствами, так что атакующим приходилось маскироваться и видоизменять стандартные инструменты. Мы смогли экспортировать конкурс, придуманный на PHDays, на одну из крупнейших хакерских площадок мира, и теперь гораздо больше специалистов по всему миру смогут стать участниками хакерских баталий в этом реалистичном формате».
Хронология атак
Атакующие могли получать игровую валюту, похищая деньги с банковских счетов, добывая криптовалюту на взломанных хостах и участвуя в программе bug bounty. Но большая часть денег добывалась за счет выполнения заданий. В первый день большинство атакующих команд вели разведку на основе открытых источников (OSINT): обнаружив корпоративные почтовые адреса всех трех компаний, они успешно продали их спамерам. Несколько команд сообщили о незначительных уязвимостях через программу bug bounty, но не смогли использовать их для повышения привилегий в инфраструктуре компаний. По итогам дня защитники не сообщали об инцидентах.
Во второй день атакующие команды продолжили находить ценную информацию (адреса электронной почты и телефоны) на корпоративных веб-сайтах и продавать ее спамерам. Однако две команды продвинулись немного дальше. Команда True0xA3 из российской «Информзащиты», ранее выигравшая аналогичное «Противостояние» на PHDays 9, попала в сети нефтяной компании, где нашла конфиденциальные письма и информацию о зарплатах руководителей. За это она получила 500 000 баллов.
Также очень эффективно работала объединенная команда Team 404, собранная из серебряных и бронзовых призеров CTF Cyber Battle of the Emirates, проходившего на том же форуме HITB. Они получили доступ к банковским счетам трети населения города (50 из 150 счетов, на каждом из счетов было 13 500 единиц игровой валюты) и сумели автоматизировать перевод денег в офшорный банк. К концу дня команда получила 660 843 балла.
Кроме того, в ходе второго дня защитники энергетической компании из команды Short Notice (ОАЭ) заметили вредоносную активность (использование уязвимостей и загрузку вредоносного шелл-кода) на границе своей сети, провели расследование и сообщили о действиях хакеров. В результате хакеры были заблокированы и устранены из сети компании. Уязвимости, которыми они воспользовались, были исправлены.
На третий день команда True0xA3 успешно попала в сеть нефтяной компании, смогла остановить масляный насос на нефтехранилище завода и переполнила нефтехранилище, что привело к разливу нефти по долине возле города.
Результаты
В нападении победителем The Standoff стала команда True0xA3. Только они (помимо команды n0x) нашли способ «майнить» криптовалюту и получили доступ к хостам в инфраструктуре компаний. Это позволило им выполнить два дорогостоящих задания и вырвать победу у Team 404. Объединенная команда Team 404 заняла второе место; они выяснили, как получить деньги с банковских счетов.
Лучшей командой защитников (best blue team) стала Short Notice. Ее участники наиболее корректно обеспечивали доступность защищаемых сервисов и регулярно отчитывались об инцидентах, в частности об установленных в инфраструктуре майнерах, скомпрометированных учетных записях; сообщили о выявлении stager (небольшого payload-модуля, цель которого внедриться и «втащить» за собой в систему остальную полезную нагрузку).
«В дальнейших планах — достижение договоренностей с крупнейшими конференциями по информационной безопасности и постепенное превращение The Standoff в стандарт де-факто для соревнований в области ИБ, — отметил Михаил Левин. — Параллельно мы будем стремиться к тому, чтобы The Standoff работал в режиме 24/7/365, чтобы команды из различных компаний могли дистанционно участвовать в конкурсе и тренировать свои навыки. Два или три дня — объективно мало для проведения многоступенчатых атак на незнакомый объект или освоения сложных техник выявления угроз. Круглогодичная доступность позволит всем извлечь из этого формата гораздо больше пользы».