Осенний The Standoff завершен

64 тысячи человек из десятков стран наблюдали за самым масштабным в мире киберпротивостоянием нападающих и защитников. Собравшись на киберполигоне в Москве, 10 сильнейших команд этичных хакеров 35 часов нон-стоп испытывали системы города-государства на прочность. Подробные итоги соревнования сейчас готовятся, а пока расскажем о его результатах и приведем дайдждест интервью с гостями из мира ИБ, которые участвовали в мероприятии.

16 ноября командам атакующих удалось реализовать еще семь недопустимых событий (в общей сложности за 35 часов было реализовано 19 недопустимых событий). Сперва нападающие из Codeby&NitroTeam нарушили работу очистных сооружений в виртуальном государстве F: несколько миллионов литров нечистот вылилось в окружающие водоемы, местные реки, озера, леса и поля оказались залиты зловонной жижей, а виртуальные жители подавали массовые жалобы в управляющую компанию «Сити» и требовали срочно решить проблему.

Затем, уже утром виртуальные жители страны получили сообщение от системы оповещения при чрезвычайной ситуации. Взломавшие систему команды сформировали ложное сообщение об утечке опасного вещества на нефтехимическом заводе (это удалось осуществить командам Codeby&NitroTeam и True0xA3). В городе началась паника, работа предприятия была приостановлена.

В обед Codeby&NitroTeam удалось реализовать сразу два недопустимых события на Единой государственной IT-платформе. В результате этих атак персональные данные сотрудников платформы оказались на черном рынке, а учетная запись главы государства была скомпрометирована. К тому моменту как в пресс-службе правительства подтвердили информацию о взломе аккаунта, размещенные Codeby&NitroTeam сообщения не только вызвали ажиотаж в кассах компании Heavy Logistics и сказались на цене ее акций, но и заставили людей серьезно сомневаться в надежности Единой государственной IT-платформы.

Неудивительно, что команда Codeby&NitroTeam заняла первое место среди атакующих. На их счету реализация шести недопустимых событий. Второе место заняла команда True0x43. Третье место досталось команде, которой удалось зарепортить больше всех уязвимостей и реализовать самое первое недопустимое событие, — SpbCTF.

Всего за время кибербитвы недопустимые события были реализованы 19 раз, из них шесть были уникальными. Пострадали четыре компании — Heavy Logistics, УК «Сити», государственная IT-платформа и «ОйлХим». Транспортная компания Heavy Logistics стала основным объектом атак: все команды атакующих смогли устроить сбой системы информирования пассажиров на железной дороге. Жюри приняло 75 отчетов об уязвимостях в инфраструктуре государства F.

Реализовать самые опасные диверсии, заложенные в сценарий противостояния, у «красных» не получилось (за исключением аварии на очистных сооружениях). Интересный факт: все недопустимые события были основаны на реальных кейсах со всего мира. Например, на нефтехимическом заводе атакующими могла быть отключена система очистки подаваемых углеводородов, что привело бы к взрыву и человеческим жертвам (в реальности аналогичным образом чуть было не взорвали саудовский нефтеперерабатывающий завод). Нападающие не смогли также отключить городское освещение, остановить транспортировку нефтепродуктов в хранилища и реализовать другие угрозы. В этом заслуга синих команд — и средств защиты, которые они использовали.

Защитники выявили 173 инцидента. Больше всего отчетов об атаках было принято от команды GiSCyberTeam. Чаще всего команды защитников указывали, что смогли обнаружить подозрительные события с помощью SIEM-системы, системы NTA, WAF и песочницы. В промышленных сегментах защитники использовали cистему анализа технологического трафика. Команда Your shell not pass расследовала семь из десяти недопустимых событий, реализованных в транспортной компании. Среднее время расследования составило 16 часов 16 минут. Самое быстрое расследование было проведено за 3 часа 8 минут командой Your shell not pass.