Кібербітва на PHDays, або Як за 30 годин зламати міську інфраструктуру

1. Перший день: атакуючі промацують ґрунт
2. Ніч - час для темних справ
3. Другий день: несподіваний поворот подій
4. Підсумки: перемогла дружба

Наша взаимовыгодная связь https://banwar.org/

Дата публікації: 23 липня 2018

Третій рік поспіль головним змаганням форуму Positive Hack Days залишається The Standoff - кібербітва між командами атакуючих, захисників і експертних центрів безпеки (SOC). ігри 2016 і 2017 року показали, що максимально наближений до реальності формат змагань зрозумілий і цікавий не тільки учасникам, а й відвідувачам конференції. Тому сумнівів робити або не робити The Standoff в цьому році у організаторів не було. Всього в The Standoff 2018 року взяло участь 19 команд . Майже 30 годин вони боролися за контроль над містом. Захисники стійко відстоювали довірені їм об'єкти, але атакуючим все одно вдалося дещо зламати: деякі об'єкти за правилами навмисно залишалися без захисту. А ось битва між самими командами атакуючих видалася гарячою: турнірна таблиця кардинально змінилася буквально за півгодини до кінця гри. Розповідаємо, що відбувалося на майданчику протягом двох днів.

Перший день: атакуючі промацують ґрунт

День був не дуже багатим на події. Атакуючим знадобилося багато часу, щоб розвідати обстановку і уважно вивчити об'єкти ігрового полігону. За легендою бій розгорнувся в місті, вся економіка якого грунтується на цифрових технологіях. У місті працювали ТЕЦ і підстанція, залізниця, кілька офісів, «розумні» будинки з рекуперацією енергії, банки з банкоматами і кіосками самообслуговування, стільниковий зв'язок, інтернет і різні онлайн-сервіси.

Макет ігрового полігону

На допомогу нападаючим був внутрішній портал, де розміщувалася загальна інформація про інфраструктуру і список верхнеуровневих цілей, які їм потрібно було досягти. За успішно виконані завдання організатори нараховували командам публіка (віртуальна валюта міста). За правилами гри, перемагала та команда атакуючих, яка набере найбільше Публій.

Перші атаки були зафіксовані ближче до обіду. Жертвами стали деякі об'єкти міської інфраструктури, яка включала в себе системи управління камерами, світлофорами і вентиляцією.

Команда «Антічат» виявила вразливість в камерах і справила атаку, спрямовану на відмову в обслуговуванні. Об 11:20 команда отримала доступ до систем відеоспостереження та протягом двох годин намагалася вивести їх з ладу. Як і в житті, на деяких камерах були встановлені прості паролі, які легко можна було підібрати. В результаті частина камер атакуючим вдалося просто вимкнути, а інші - вивести з ладу за допомогою загальнодоступних експлойтів.

Далі «Антічат» націлилася на системи опалення. Команда отримала доступ до контролера, керуючому опаленням і вентиляцією, і почала включати і відключати опалення. Однак організатори частково зарахували це завдання за програмою bug bounty, так як за умовами необхідно було вивести з ладу ще системи управління вентиляцією і світлофорами.

О 12 годині команда «царків» виявила вразливість в ПО АСУ ТП, але не змогла вчасно зорієнтуватися, щоб використовувати цей шанс і прорватися в інфраструктуру.

Приблизно в цей же час на головній сцені форуму зі звітом виступила команда SOC «Ростелекома», яка моніторила незахищений офіс - за легендою, інжинірингову компанію «Супутник». Вона повідомила, що однією з команд атакуючих вдалося за допомогою брутфорса і експлуатації вразливостей зламати офісну мережу і отримати права адміністратора домена.

В середині дня «царків» скинула паролі всіх абонентів порталу телеком-оператора і спробувала продати скинуті учеткі покупцеві на чорному ринку, але він зрозумів, що вони фіктивні, і відмовився від покупки. Телеком-оператор відразу після того, як отримав скарги від абонентів, відновив облікові записи з резервної копії і закрив дірку в порталі. Далі команда спробувала здати учеткі за програмою bug bounty, але за це вона врятувала копійки. Відзначимо, що це не було упущенням команди захисту, так як організатори тимчасово попросили відключити WAF від порталу для установки оновлень і тестування нової функціональності, чим і скористалися атакуючі.

Захисники телекому - команда You shall not pass - відзначили, що хакери були націлені в основному на злом порталу та веб-інтерфейсів. Більшість ресурсів, що відносяться до телекому, контролювалися захисниками, але за задумом організаторів частина ресурсів залишалася без захисту. Наприклад, команда не захищала від крадіжки учеток, скидання паролів в особистому кабінеті і перехоплення SMS-повідомлень, а команда SOC ANGARA тільки фіксувала ці інциденти, ніж згодом і скористалися противники. До речі, You shall not pass також розповіла нам про спроби атакуючих застосувати соціальну інженерію: дехто з учасників, пам'ятаючи торішній вдалий досвід команди «царків», спробував отримати дані від захисників, представившись журналістами. Але захисники не повелися на хитрі виверти суперників.

Ближче до вечора атакуючі дізналися, що в місті F є своя криптовалюта. В учасників була можливість заробити додаткові публіка на розподілених DDoS-атаках, зав'язаних на блокчейн. Першою командою, яка вирішила підзаробити, виявилася «царків»: близько шостої години вечора вони зламали одну машину, щоб використовувати її для Майнінг. Далі команда переключилася на інші об'єкти: в дев'ять стало відомо, що вона виявила автомобіль по GPS-координат. Трохи пізніше команди «царків» і Sploit00n практично одночасно зламали абонентів телеком-оператора: вони перехопили SMS-повідомлення з компроматом на топ-менеджера страхової компанії міста. Відзначимо, що безпека абонентських даних не була підконтрольна командам захисників. За успішно виконане завдання атакуючі отримали по 250 000 Публій.

Під кінець дня невідомі атакуючі спробували сбрутіть облікові записи від SIP-телефонії в режимі онлайн, але через своєчасної правки захисниками конфігурації програми для комп'ютерної телефонії Asterisk, що ускладнює онлайн-брутфорс, ця атака не увінчалася успіхом. Позначилося й те, що атакуючим, мабуть, не вистачило часу на попередню підготовку: вони намагалися сбрутіть неіснуючі номери телефонів: валідність номера були 10-значними без коду країни або міста, а учасники Брут 9-значні.

Трохи пізніше зі звітом виступила команда захисників банку Jet Antifraud Team, яка розповіла, що протягом дня їй вдалося заблокувати 5 нелегітимних транзакцій на суму 140 Публій - можна сказати, що це була розминка перед нічними атаками.

За підсумками першого дня організатори, які спостерігали за протистоянням, відзначили, що учасники перших порах були обережними і не робили спроб зробити серйозні атаки. Атакуючі якщо і діяли, то дуже прямолінійно і їх активність була дуже помітна. До кінця дня безліч атак все ще залишалися на початковій стадії, так як атакуючі не розуміли, як їх розвинути далі. Наприклад, зламавши незахищений офіс, вони не відразу здогадалися, що «Супутник» - керуюча компанія технологічного сегмента, також команди не скористалися отриманими ресурсами для Майнінг місцевої криптовалюта.

Проте за весь цей час було здано близько ста звітів про уразливість за програмою bug bounty, вкрадені учеткі і дані банківських карт. За ці завдання атакуючі також отримували гроші в ігровий валюті - трохи, але за рахунок кількості деяким командам вдалося набрати серйозний рахунок (100 тис. - 200 тис. Публій).

Захисники, навчені досвідом минулих ігор, прогнозували, що атаки почнуться ближче до ночі.

Ніч - час для темних справ

Учасники The Standoff

Як і очікувалося, все найцікавіше сталося вночі. Як тільки ігровий день закінчився, хакери активізувалися, і спробували використовувати уразливості, які вони виявили в протягом дня. І відразу в декількох точках міста стало неспокійно.

Команда Jet Antifraud Team зафіксувала масовані атаки, метою яких була крадіжка грошей з рахунків жителів міста. До слова, всього в банку міста було відкрито 500 рахунків, загальна сума становила 3 ​​млн Публій. Атакуючі спробували вивести гроші - точніше хоч трохи поганяти їх між рахунками і перевірити банківський антіфрод на міцність. Три великі атаки відбулися в проміжок з 10 години вечора до другої години ранку. Всього було близько 20 тисяч спроб здійснення шахрайських операцій на 19 шахрайських рахунків. При цьому були скомпрометовані 100 рахунків, але банк на той момент не втратив жодного Публій.

Після півночі команда True0xA3 вирішила скласти конкуренцію «царків» і зламала один комп'ютер для Майнінг криптовалюта. За ніч обидві команди змогли організувати невеликий ботнет для Майнінг.

Ближче до ранку сталося несподіване тимчасове перемир'я між атакуючими і захисниками. Спільно вони почали вивчати інфраструктуру технологічного сегмента. Відзначимо, що з минулого року промисловий сектор значно змінився. Макет включав гідроелектростанції і ТЕЦ, розподільні підстанції, нафтопереробний завод, транспортування і зберігання нафтопродуктів, залізницю і автоматизовані склади, кран і установки розливу рідких нафтопродуктів, автоматизацію будівель BMS і життєзабезпечення, системи відеоспостереження, розумні будинки. Було використано реальне ПО і устаткування таких вендорів: ABB, Advantech, Belden, GE, ICONICS, ICP DAS, Kepware, Loxone, Matrikon, Moxa, Phoenix Contact, Rockwell, Schneider Electric, Siemens, «Прософт». Організатори використовували версії ПЗ і прошивки обладнання з відомими типовими уразливими і помилками конфігурації, які на практиці зустрічаються найчастіше.

Коли спроби отримання віддаленого доступу до АСУ ТП не увінчалися успіхом, команди стали підключатися локально і під наглядом захисників проводили сканування, щоб скласти топологію мережі, експлуатували відомі уразливості, але не здійснювали повноцінних атак на промислові системи.

Другий день: несподіваний поворот подій

макет міста

На другий день атакуючі добралися і до ще одного офісу - за легендою це була страхова компанія міста F. Приблизно о 9:30 команді SCS вдалося отримати персональні дані клієнтів компанії. Як повідомили команди захисників SRV і SOC «Перспективний моніторинг», деякі сервіси піддалися злому. Одну лінуксових машину довго випробовували на міцність перебором паролів. У підсумку, скориставшись розширеним словником, SCS зламала облікові записи. Далі зловмисники намагалися закріпитися в системі і атакувати внутрішні сервіси в обхід NGFW, але активність була припинена. Приблизно в цей же час SCS відібрала для Майнінг комп'ютер, захоплений «царків», але захисники швидко виявили і усунули майнер. Всього за добу WAF команди захисників SRV відбив близько 1 500 000 атак, а команда «Перспективний моніторинг» завела 30 інцидентів безпеки.

Після обіду команди SCS, EpicTeam і Level 8 спробували продати за 250 000 Публій на чорному ринку компромат на топ-менеджера страхової компанії міста, знайдений в SMS-повідомленнях. Однак одна з команд не змогла підтвердити документально, що це листування належить саме топ-менеджеру (в даних була відсутня ця інформація), тому отримала за це лише 100 000 Публій. Інша команда змогла перехопити лише частина листування. Покупець на чорному ринку, звичайно ж, заплатив і за цю інформацію, але не так багато, як очікували атакуючі - всього 150 000 Публій.

Тим часом команда True0xA3 почала активно вивчати об'єкти енергетики і відправляти на bug bounty перші уразливості. Знайдений експлойт допоміг їм о 15:19 здійснити атаку на підстанцію ТЕЦ: команда вивела з ладу термінал захисту, тим самим створила аварійну ситуацію.

В середині дня команда захисників Jet Security Team і RT SOC повідомили, що атакуючі отримали повний контроль над незахищеним офісом компанії «Супутник»: вони знайшли виходи в систему АСУ ТП нафтового сектора. Вночі, незважаючи на численні спроби, пробити системи захисту у атакуючих не вийшло, але днем ​​ці атаки отримали свій розвиток. Виявилося, що компанія «Супутник" не забезпечила безпеку своєї Wi-Fi-мережі, тому команди змогли отримати до неї доступ. Крім того, були знайдені облікові записи для віддаленого доступу через TeamViewer на машину інженера АСУ ТП. Нападники, звичайно, використовували це в своїх цілях і перехоплювали контроль над сесією. До цієї години серйозних атак зафіксовано не було, але команди Jet Security Team і RT SOC прогнозували диверсії в нафтовому секторі.

Довго чекати не довелося. До кінця дня невідомі атакуючі здійснили локальну атаку на системи подачі нафти з танкера: підійшовши безпосередньо до обладнання, атакуючі зробили (можливо випадково) петлю в локальній мережі, що призвело до втрати зв'язку з програмованим логічним контролером і SCADA одночасно. Через це стався розлив нафти на танкері, але без серйозних наслідків. Проте таку пильну і уважну роботу щодо захисту АСУ ТП (від тотального моніторингу до перенастроювання мережевих промислових пристроїв), яку продемонструвала команда Jet Security Team, в реальному житті зустрінеш рідко.

Але найцікавіше сталося за годину до кінця кібербітви. Місто відмовився від системи антіфрода. Цим оперативно скористалися команди Hack.ERS і invul: $. Однак тільки Hack.ERS змогли першими автоматизувати операції і за 20 хвилин повністю обчистити банк - в сумі вони вивели близько 2,7 млн ​​Публій. Це дозволило команді піднятися з 10 сходинки турнірної таблиці і вибратися в переможці, вибивши з лідерів команду «царків» (переможців минулого року). Всього за 30 годин кібербітви Jet Antifraud Team, яка захищала банк міста, успішно відбила 22 500 шахрайських операцій на суму 97 000 Публій.

Фінальна турнірна таблиця

Додала спеку і ситуація на біржі криптовалюта. Всього Майні 6 команд з 12: «царків», True0xA3, Hack.ERS, SCS, CrotIT, invul: $. Як і в реальному житті, курс постійно змінювався: мінімальний був 5 Публій за блок, максимальний - 200 Публій за блок. В останню годину цифри серйозно змінилися. Всього учасники намайнілі тисячу сімсот сімдесят шість блоків: «царків» - 620, True0xA3 - 515, Hack.ERS - 355, SCS - 133, CrotIT - 104, invul: $ - 48. За два дні команди заробили: «царків» - 75940 Публій, True0xA3 - 40200 Публій, Hack.ERS - 35100 Публій, SCS - 12680 Публій, CrotIT - 19605 Публій, invul: $ - 960 Публій.

Вже на останніх хвилинах конкурсу команда True0xA3 влаштувала блекаут в місті. Ця атака стала логічним продовженням дій, вжитих командою напередодні. Весь цей час учасники вивчали стенд, читали дослідження з безпеки АСУ ТП і шукали необхідні утиліти. Використовуючи уразливості протоколу MMS, їм вдалося викликати коротке замикання. До речі, така ж атака вже була виконана два роки тому на PHDays VI. Цьому повинна була перешкодити система захисту, але True0xA3 змогли напередодні відключити її. Наостанок дісталося і залізниці: True0xA3 отримала управління локомотивом, але вже не встигла нічого зробити, а Sploit00n знайшла декілька вразливостей в автоматизованому складі залізниці, що дозволяють змінити логіку ПЛК, однак команда також не встигла зробити модифікацій.

Макет залізниці

Протягом двох днів події на майданчику також моніторили за допомогою продуктів Positive Technologies: система MaxPatrol SIEM, рішення мережевої безпеки для аналізу мережевого трафіку, виявлення і розслідування інцидентів PT Network Attack Discovery, багатопотокова система виявлення шкідливого контенту PT MultiScanner. За весь час один тільки PT Network Attack Discovery зареєструвала 11 769 526 атак. Про те, які атаки зафіксували рішення Positive Technologies, і їх детальний технічний аналіз - в нашій наступній статті.

Кількість атак на об'єкти міста F за два дні

Підсумки: перемогла дружба

За підсумками двох днів можна сказати, що перемогла дружба. 30-годинна кібербітва The Standoff ще раз підтвердила - ІБ-фахівці здатні забезпечити високий рівень захисту, при цьому не впливаючи на бізнес-логіку і технологічні процеси систем. Зламати захищені об'єкти атакуючим не вдалося, проте команди продемонстрували, до чого може привести недбале ставлення до питань інформаційної безпеки. Деякі об'єкти та інфраструктури зовсім залишилися без захисту (як це іноді буває і в житті), щоб зробити змагання більш реалістичним і наочним. Ну а щоб захисники не зловживали своїм становищем і не впливали на роботу ввірених їм об'єктів (наприклад, не відключали сервіси на догоду безпеки), організатори запускали спеціальні програми для перевірки їх доступності.

Перші три призових місця зайняли Hack.ERS, «царків», Sploit00n. Решта результатів - в фінальному рейтингу. .

Переможці The Standoff - команда Hack.ERS

Експерт з безпеки АСУ ТП і один з організаторів стендів промислових об'єктів Ілля Карпов вважає, що перемогли захисники, незважаючи на те, що в місті на підстанції ТЕЦ нападники змогли зробити диверсію і опустити заземлювальний ніж на землю.

«Нафтовий сектор, незважаючі на Різні впроваджені уразлівості, помилки конфігурації, точки доступу та даже можлівість фізічного доступу, БУВ надійно захищений командою Jet Security Team. Складна векторів атак зі зміною логіки роботи ми в цьом году НЕ побачим: до контролерів ніхто НЕ Добрава, так як захисники відпрацювалі на 100% и взяли все під контроль. Проти команда True0xA3 змогла на ходу розібратіся, як працює підстанція - їх атака булу найскладнішою за все два дні, - рассказал Ілля. - Другий рік поспіль ми очікуємо атак на мережеве обладнання, так як саме вони в реальному житті трапляються повсюдно, проте на змаганні вони поки залишаються без належної уваги ».

На думку члена оргкомітету PHDays Михайла Помзова, атакуючі могли досягти більшого: «В цьому році всі завдання, які стояли перед хакерами, були розраховані на логіку. У грі були передбачені приховані цілі, які з'являлися після виконання певних дій або при настанні події. Наприклад, отримавши доступ до облікового запису на одному порталі, можна було проникнути і в інші сегменти. Атакуючі ж діяли більш прямолінійно і не розкручували атаки - здавали завдання і отримували гроші. Можливо, їм просто не вистачило часу ».

«Щорічна мета нашого заходу - звернути увагу на проблеми інформаційної безпеки, продемонструвати сучасні сценарії атак і способи протидії їм. Вважаю, що в цьому році нам це вдалося, - підводить підсумки член оргкомітету PHDays Михайло Левін. - Не можна не відзначити переломний момент гри, коли атакуючі і захисники об'єднали зусилля, щоб вивчити технологічний сегмент нашого кіберполігона і дізнатися, як працюють промислові організації. Все-таки в реальному житті учасники команд - фахівці з інформаційної безпеки, які кожен день будують системи захисту, протидіють атакам і розслідують інциденти. Для того щоб захищати ці об'єкти на практиці, їм потрібно розуміти, як це працює. Наш The Standoff дав їм можливість обмінятися досвідом і освоїти сучасні техніки та інструменти тестування на проникнення в умовах, максимально наближених до реальних ».

команди захисників