Компания Positive Technologies провела соревнование «этичных» хакеров или «красных бригад» (red team) с командами защитников («синих бригад» или blue team) The Standoff 2021. В этом году компания приготовила целый город-государство F, информационные системы которого могли атаковать хакеры из 10 команд в течении 35 часов соревнования. При этом пять команд нападающих были уже победителями предыдущих соревнований — само соревнование проводится вот уже в шестой раз, а пять команд были набраны в рамках отборочного конкурса. За противостоянием «красных» и «синих» наблюдали около 64 тыс. человек из десятков стран. Причем в этом году в качестве соорганизатора выступила казанская компания Innostage, специалисты которой фиксировали все события в городе-государстве.
Разлив нечистот
В общей сложности за 35 часов командам нападающих было реализовано 19 недопустимых событий, правда защитники работали только в режиме мониторинга, то есть не могли исправить обнаруженные нападающими уязвимости. Первым событием стала подмена расписания на табло железных дорог города-государства. Затем нападающие из Codeby&NitroTeam нарушили работу очистных сооружений в виртуальном государстве F: несколько миллионов литров нечистот вылилось в окружающие водоемы, местные реки, озера, леса и поля оказались залиты зловонной жижей, а виртуальные жители подавали массовые жалобы в управляющую компанию «Сити» и требовали срочно решить проблему.
Кроме того, виртуальные жители страны получили сообщение от системы оповещения при чрезвычайной ситуации. Взломавшие систему команды сформировали ложное сообщение об утечке опасного вещества на нефтехимическом заводе (это удалось осуществить командам Codeby&NitroTeam и True0xA3). В городе началась паника, работа предприятия была приостановлена. Codeby&NitroTeam также удалось реализовать сразу два недопустимых события на Единой государственной ИТ-платформе. В результате этих атак персональные данные сотрудников платформы оказались на черном рынке, а учетная запись главы государства была скомпрометирована. К тому моменту как в пресс-службе правительства подтвердили информацию о взломе аккаунта, размещенные Codeby&NitroTeam сообщения не только вызвали ажиотаж в кассах компании Heavy Logistics и сказались на цене ее акций, но и заставили людей серьезно сомневаться в надежности Единой государственной ИТ-платформы.
Неудивительно, что команда Codeby&NitroTeam заняла первое место среди атакующих. На их счету реализация шести недопустимых событий. Второе место заняла команда True0x43. Третье место досталось команде, которой удалось обнаружить и описать больше всех уязвимостей и реализовать самое первое недопустимое событие — это команда из Санкт-Петербурга SpbCTF. Реализовать самые опасные диверсии, заложенные в сценарий противостояния, у «красных» не получилось (за исключением аварии на очистных сооружениях). Причем все недопустимые события были основаны на реальных случаях со всего мира. Например, на нефтехимическом заводе атакующими могла быть отключена система очистки подаваемых углеводородов, что привело бы к взрыву и человеческим жертвам — в реальности аналогичным образом чуть было не взорвали саудовский нефтеперерабатывающий завод. Нападающие не смогли также отключить городское освещение, остановить транспортировку нефтепродуктов в хранилища и реализовать другие угрозы. В этом заслуга «синих бригад» и средств защиты, которые они использовали.
The Standoff 365
Разработчики макета городской инфраструктуры компания Positive Technologies объявила о планах сделать The Standoff доступной для постоянного проведения киберучений — это и будет онлайн-полигон The Standoff 365. Это связано с тем, что за ограниченное время атакующие не могут реализовать большинство атак — они стараются провести максимально быстрые атаки, чтобы получить как можно больше очков. Для защитников же важно, чтобы все сценарии недопустимых событий могли быть попробованы и даже реализованы, поскольку именно в этом случае можно будет проанализировать путь совершения подобных атак и разработать методы защиты и реагирования, которые могли бы в дальнейшем предотвратить совершение подобных атак. Конечная цель всей этой деятельности — сделать невозможной реализацию недопустимых событий.
Бета-тестирование платформы The Standoff 365, пока только с участием команд атакующих, приглашенных по итогам прошлых кибербитв The Standoff, стартует 24 ноября. До Нового года атакующие смогут проверить защиту макета и оценить насколько безопасно организовывать на его основе постоянные киберучения для тренировки как «красных», так и «синих» бригад. Полноценный запуск платформы планируется в мае 2022 года в рамках международного форума по кибербезопасности Positive Hack Days. Предполагается, что в рамках первого онлайн-киберполигона будет вначале реализованы два отраслевых модуля: финансовый и ТЭК. И хотя сама инфраструктура будет виртуальной, в качестве контроллеров, которые в ней будут задействованы, планируется использовать физическими устройствами, причем как иностранных, так и российских производителей.
«На The Standoff 365 не предусмотрено никаких ограничений по сценариям, поскольку объекты на полигоне атакуют реальные исследователи безопасности — каждый со своим бэкграундом, навыками и набором инструментов, — пояснил особенности правил онлайнового киберполигона руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин. — А это значит, что даже мы не знаем, как будут разворачиваться события. Благодаря этому сценарии атак на онлайн-полигоне каждый раз могут быть новыми, что дает возможность практиковать различные способы защиты в непредсказуемых условиях».
Сапожник с сапогами
Во время проведения The Standoff 2021 компания Positive Technologies открыла также свою инфраструктуру для любых «красных бригад» для проведения атак и выполнения недопустимых событий. В качестве таковых были определены четыре события: перевод денежных средств на специальный счет, снятие скриншотов конфиденциальной информации, внесение посторонних кодов в специальную ветку репозитория исходных кодов компании и захват точек коммуникации с партнерами. На момент пресс-конференции успешных атак зафиксировано не было, хотя системы контроля обнаружили деятельность трех исследовательских группировок.
