В Абу-Даби состоялся The Standoff: киберсражение за город вышло на международную арену

11.11.2019

Турнир прошел на одной из самых известных международных конференций по кибербезопасности HITB⁺ CyberWeek¹, лучшими стали специалисты из России

В Объединенных Арабских Эмиратах была построена реалистичная модель цифрового мегаполиса для проведения трехдневного турнира The Standoff («Противостояние»), в котором приняли участие более 60 специалистов по ИБ из разных стран. Атакующие команды (red teams) пытались украсть деньги из банка, спровоцировать разлив нефти, парализовать железнодорожное сообщение, устроить транспортный коллапс и свести с ума уличное освещение виртуального города. Им противостояли группы специалистов по безопасности (blue teams).

The Standoff — не просто одна из игр типа capture the flag. В отличие от классического CTF, на площадке присутствуют не только атакующие, но и защитники. Инфраструктура города Kabakas представлена в виде большого макета площадью около 17 квадратных метров, который дает зрителям возможность наблюдать последствия атак. Для управления объектами используются современные системы и оборудование (АСУ ТП, ДБО, автоматизация зданий). Это позволяет профессионалам моделировать реальные ситуации, оттачивая навыки защиты информации и мониторинга безопасности. Соревнование впервые прошло на форуме по практической безопасности PHDays в 2016 году в Москве, организатором которого является Positive Technologies.

От колеса обозрения до химического завода

В The Standoff приняли участие три команды защитников и 9 команд атакующих. Защитники обеспечивали безопасность трех городских предприятий — нефтехимического, транспортного и энергетического. Среди объектов были завод по производству аммиака и электрическая подстанция, нефтехранилище и транспортный узел для перевозки нефтепродуктов, железная дорога, системы управления светофорами и уличным освещением, системы отопления и кондиционирования — и даже колесо обозрения. В городе также был свой банк.

«Многие команды, привыкшие к классическому сбору флагов CTF, не сразу разобрались, как действовать наиболее эффективно,отметил один из организаторов The Standoff Михаил Левин. — Как и в реальной жизни, на The Standoff можно было использовать практически все излюбленные хакерские техники. И даже больше: только умелая их комбинация позволит победить в Противостоянии. Специалисты, игравшие "за плохих парней", могли осуществлять настоящие APT-атаки или даже диверсии, такие как разлив нефти, отключение городского освещения или аварии на железной дороге. Подобные угрозы интернациональны, и подготовка к ним должна вестись не только в теории. В реальной жизни службы ИБ, как правило, имеют ограниченный набор средств защиты, поэтому у наших защитников были лишь системы NGFW и WAF, которые тем не менее очень сильно осложняли жизнь хакерам. Все атаки в лоб автоматически блокировались этими средствами, так что атакующим приходилось маскироваться и видоизменять стандартные инструменты. Мы смогли экспортировать конкурс, придуманный на PHDays, на одну из крупнейших хакерских площадок мира, и теперь гораздо больше специалистов по всему миру смогут стать участниками хакерских баталий в этом реалистичном формате».

Хронология атак

Атакующие могли получать игровую валюту, похищая деньги с банковских счетов, добывая криптовалюту на взломанных хостах и участвуя в программе bug bounty. Но большая часть денег добывалась за счет выполнения заданий. В первый день большинство атакующих команд вели разведку на основе открытых источников (OSINT): обнаружив корпоративные почтовые адреса всех трех компаний, они успешно продали их спамерам. Несколько команд сообщили о незначительных уязвимостях через программу bug bounty, но не смогли использовать их для повышения привилегий в инфраструктуре компаний. По итогам дня защитники не сообщали об инцидентах.

Во второй день атакующие команды продолжили находить ценную информацию (адреса электронной почты и телефоны) на корпоративных веб-сайтах и продавать ее спамерам. Однако две команды продвинулись немного дальше. Команда True0xA3 из российской «Информзащиты», ранее выигравшая аналогичное «Противостояние» на PHDays 9, попала в корпоративную сеть нефтяной компании, где нашла конфиденциальные письма и информацию о зарплатах руководителей. За это она получила 500 000 баллов.

Также очень эффективно работала объединенная команда Team 404, собранная из серебряных и бронзовых призеров CTF Cyber Battle of the Emirates, проходившего на том же форуме HITB. Они получили доступ к банковским счетам трети населения города (50 из 150 счетов, на каждом из счетов было 13 500 единиц игровой валюты) и сумели автоматизировать перевод денег в офшорный банк. К концу дня команда получила 660 843 балла.

Кроме того, в ходе второго дня защитники энергетической компании из команды Short Notice (ОАЭ) заметили вредоносную активность (использование уязвимостей и загрузку вредоносного шелл-кода) на границе своей сети, провели расследование и сообщили о действиях хакеров. В результате хакеры были заблокированы и устранены из сети компании. Уязвимости, которыми они воспользовались, были исправлены.

На третий день команда True0xA3 попала в технологическую сеть нефтяной компании и смогла нарушить штатный техпроцесс, перекрыв клапан, в результате чего нефть не могла поступать дальше по трубам. Кроме того команда решила второе задание — изменила максимальные значения уровня нефти в цистерне, в результате чего нефть переполнила резервуар, что привело к разливу нефти.

Результаты

В нападении победителем The Standoff стала команда True0xA3. Только они (помимо команды n0x) нашли способ «майнить» криптовалюту и получили доступ к хостам в инфраструктуре компаний. Это позволило им выполнить два дорогостоящих задания и вырвать победу у Team 404. Объединенная команда Team 404 заняла второе место; они выяснили, как получить деньги с банковских счетов.

Лучшей командой защитников (best blue team) стала Short Notice. Ее участники наиболее корректно обеспечивали доступность защищаемых сервисов и регулярно отчитывались об инцидентах, в частности об установленных в инфраструктуре майнерах, скомпрометированных учетных записях; сообщили о выявлении stager (небольшого payload-модуля, цель которого внедриться и «втащить» за собой в систему остальную полезную нагрузку).

«В дальнейших планах — достижение договоренностей с крупнейшими конференциями по информационной безопасности и постепенное превращение The Standoff в стандарт де-факто для соревнований в области ИБ, — отметил Михаил Левин. — Параллельно мы будем стремиться к тому, чтобы The Standoff работал в режиме 24/7/365, чтобы команды из различных компаний могли дистанционно участвовать в конкурсе и тренировать свои навыки. Два или три дня — объективно мало для проведения многоступенчатых атак на незнакомый объект или освоения сложных техник выявления угроз. Круглогодичная доступность позволит всем извлечь из этого формата гораздо больше пользы».

  1. Hack In The Box