Cyberbattle at PHDays, или Как взломать городскую инфраструктуру за 30 часов

  1. День 1: получение цифровой земли
  2. Ночь темна и полна ужасов
  3. День 2: ожидание неожиданного
  4. Все победили: последние мысли

Дата публикации: 25 июля 2018 г. Дата публикации: 25 июля 2018 г

Уже третий год подряд хакерские конкурсы в Positive Hack Days Противостояние , в котором команды злоумышленников, защитников и центров безопасности (СОК) сражаются в виртуальном городе. Опыт 2016 и 2017 годов показал привлекательность этого ультрареалистичного формата как для участников, так и для посетителей PHDays. Поэтому среди организаторов не было сомнений, что The Standoff заслуживает возвращения в этом году. В 2018 году в общей сложности 19 команд приняли участие в «Противостоянии», и в течение почти 30 часов эти команды боролись за контроль над городом.

Защитники стояли быстро, но злоумышленникам все же удалось осуществить несколько взломов: согласно правилам, некоторые цели были намеренно оставлены незащищенными. Между тем, битва между командами атакующих за первое место была довольно жаркой - табло было перевернуто с ног на голову всего за полчаса до конца игры. Читайте дальше, чтобы получить подробный отчет о том, что произошло за эти два захватывающих дня.

День 1: получение цифровой земли

События были медленными в первый день. Злоумышленники занимались разведкой и изучением целей. Как сообщалось ранее, экономика города была основана на цифровых технологиях. Городская инфраструктура включала в себя электростанцию ​​и подстанцию, железную дорогу, офисные здания, энергоэффективные умные дома, банки с банкоматами и киосками самообслуживания, мобильную связь, Интернет и онлайн-услуги.

Городская инфраструктура включала в себя электростанцию ​​и подстанцию, железную дорогу, офисные здания, энергоэффективные умные дома, банки с банкоматами и киосками самообслуживания, мобильную связь, Интернет и онлайн-услуги

Физический макет виртуального города

Злоумышленники могут обратиться к внутреннему порталу, который содержит общую информацию об городской инфраструктуре и список целей высокого уровня. Выполняя задания, команды зарабатывали разные суммы кредитов. Та команда, которая имела наибольшее количество кредитов в конце игры, выиграла.

Первые атаки произошли незадолго до обеда, затронув городскую инфраструктуру, включая системы управления камерами, стоп-сигналы и системы вентиляции.

Команда Antichat обнаружила уязвимости в камерах и провела атаку отказа в обслуживании. В 11:20 команда получила доступ к системам видеонаблюдения и в течение двух часов пыталась отключить их. Как и в реальной жизни, некоторые камеры имели легко угадываемые пароли. В конечном итоге злоумышленники смогли просто отключить некоторые камеры и отключить другие, используя общедоступные эксплойты.

Тогда Античат нацелился на системы отопления. Команда получила доступ к контроллеру, отвечающему за отопление и вентиляцию, после чего они начали включать и выключать отопление. Организаторы присудили за это только частичную компенсацию за ошибки, поскольку в задании указывалось, что команде также необходимо отключить системы вентиляции и стоп-сигнала.

В полдень CAICA обнаружил уязвимости в программном обеспечении ICS, но не смог вовремя воспользоваться этой возможностью для проникновения в целевую инфраструктуру.

Примерно в то же время краткая презентация была сделана на главной сцене SOC Ростелеком, который осуществлял мониторинг незащищенного офиса (принадлежащего вымышленной инжиниринговой компании «Спутник»). Группа заявила, что злоумышленники успешно использовали грубую силу и использовали уязвимости для взлома офисной сети и получения прав администратора домена.

Примерно в полдень CAICA сбрасывает пароли всех абонентов портала оператора связи. Затем команда попыталась продать сброшенные счета покупателю черного рынка, который отступил после сомнений в том, были ли эти счета настоящими. Как только подписчики начали жаловаться, оператор связи восстановил учетные записи из резервной копии и закрыл дыру в безопасности портала. Затем команда злоумышленников попыталась заработать на счетах за баунти-кредиты, выиграв лишь копейки за свои усилия. Этот инцидент не был результатом халатности защитников: организаторы попросили защитников временно отключить WAF для портала, чтобы установить обновления и протестировать новые функции. Естественно, злоумышленники ухватились за эту возможность.

Команда защитников телекоммуникаций - Вы не должны проходить мимо - отметила, что хакеры сосредоточились на портале и веб-интерфейсах. Большая часть ресурсов телекоммуникационной компании находилась под пристальным взглядом защитников, но некоторые были оставлены незащищенными преднамеренно, как это предусмотрено организаторами. Например, защитники не смогли защитить себя от кражи учетных записей, сброса пароля и перехвата текстовых сообщений. Между тем, команда ANGARA SOC могла записывать только эти инциденты, которые работали на благо злоумышленников. Не проходите мимо и рассказали нам о попытках социальной инженерии: некоторые злоумышленники, предположительно вдохновленные успешным гамбитом CAICA в прошлом году, выдавали себя за журналистов для получения данных от защитников. Но защитники не взяли приманку.

Ближе к вечеру злоумышленники узнали, что в городе есть своя криптовалюта. Злоумышленники могут заработать дополнительные кредиты, выполняя DDoS-атаки с использованием блокчейна. CAICA была первой командой, которая погрузила свои пальцы в криптовалютные воды: около 6 часов вечера они взломали машину, чтобы добыть ее.

В 9 часов вечера стало известно, что CAICA обнаружила автомобиль по координатам GPS. Чуть позже CAICA и Sploit00n почти одновременно взломали абонентов связи, поскольку они перехватывали текстовые сообщения с компрометирующей информацией о высшем руководителе страхования. (Как уже отмечалось, защита данных подписчиков была за пределами компетенции команд защитников.) За эту успешно выполненную задачу злоумышленники получили по 250 000 кредитов каждая.

В конце дня неизвестные злоумышленники пытались взломать учетные записи SIP в Интернете, но из-за своевременного перехода защитников на конфигурацию Asterisk атака была замедлена до окончательного сбоя. Было очевидно, что злоумышленники спешат, судя по их неудачной попытке подделать несуществующие телефонные номера: отсутствует одна цифра, поэтому вместо того, чтобы пробовать действительные 10-значные номера без кодов страны или города, они неоднократно вводили 9-значные. ,

Команда Jet Antifraud, отвечающая за защиту банка, вскоре после этого сообщила, что в тот день они заблокировали пять попыток мошенничества на общую сумму 140 кредитов. Это был лишь небольшой предварительный просмотр того, что должно было случиться ночью.

После наблюдения за событиями в первый день, организаторы отметили, что злоумышленники казались довольно осторожными и неохотно даже пытались совершить какие-либо масштабные хакерские атаки. И когда злоумышленники действовали, они действовали очевидным и неубедительным образом. К концу дня многие атаки все еще застряли на ранней стадии, так как злоумышленники не знали, как их продолжить. Например, после взлома незащищенного офиса инженерной компании «Спутник» злоумышленники не спешили найти связь с сегментом производственного процесса. Также команды не использовали взломанные системы для майнинга криптовалюты.

Тем не менее, в первый день было зарегистрировано около 100 отчетов об уязвимостях, а также многочисленные кражи учетных записей и информации о кредитных картах. Эти атаки стоили всего несколько кредитов каждая, но некоторые команды смогли компенсировать это по объему (на сумму от 100 000 до 200 000 кредитов).

Основываясь на опыте прошлых лет, защитники готовились к атакам по мере приближения ночи.

Ночь темна и полна ужасов

Противостояние в полном разгаре

И конечно же, волнение пришло ночью. Солнце зашло, хакеры начали подниматься, и уязвимости, обнаруженные ранее днем, теперь начали использоваться. Цифровые волнения поразили сразу несколько частей города.

Команда Jet Antifraud выявила массовые попытки кражи денег с банковских счетов жителей. В банке было открыто 500 счетов на общую сумму 3 миллиона кредитов. Злоумышленники пытались обналичить или, по крайней мере, перебрать деньги между счетами и почувствовать систему анти-мошенничества банка. В период с 22:00 до 02:00 было зарегистрировано три крупных нападения, в которых было совершено около 20 000 попыток мошеннических транзакций и 19 аккаунтов, связанных с мошенничеством. Хотя 100 законных счетов были взломаны, банк не потерял ни одного кредита.

После полуночи True0xA3 решил дать CAICA некоторую конкуренцию, взломав компьютер для майнинга криптовалюты. Каждая из двух команд собрала небольшой ботнет для майнинга в течение ночи.

Удивительно, но прекращение огня развивалось рано утром. Защитники и злоумышленники откладывают свои разногласия, чтобы совместно изучить инфраструктуру сегмента производственного процесса. Промышленные системы существенно изменились по сравнению с конкурентами предыдущего года и включали в себя длинный список оборудования: гидроэлектростанция, электростанция, подстанции, нефтеперерабатывающий завод, нефтебазы для транспортировки и хранения, железнодорожные и автоматизированные склады, средства загрузки танкеров, системы управления зданием ( BMS), системы жизнеобеспечения и видеонаблюдения, а также умные дома. Настоящее программное и аппаратное обеспечение поставлялось различными поставщиками: ABB, Advantech, Belden, GE, ICONICS, ICP DAS, Kepware, Loxone, Matrikon, Moxa, Phoenix Contact, Prosoft, Rockwell, Schneider Electric и Siemens. Версии программного и микропрограммного обеспечения были специально выбраны организаторами для отражения уязвимостей и ошибок конфигурации, которые обычно встречаются в дикой природе.

Когда попытки получить удаленный доступ к оборудованию ICS не увенчались успехом, злоумышленники начали локально подключаться и - с оглядывающимися через плечо защитниками - сканировали сеть, чтобы узнать ее топологию и использовали известные уязвимости, воздерживаясь от любых полноценных атак.

День 2: ожидание неожиданного

В начале второго дня нападавшие захватили еще один офис, на этот раз принадлежащий городской страховой компании. Около 9:30 СКС получил личную информацию о клиентах страховщика. Команда SRV (защитники) и Advanced Monitoring (SOC) сообщили, что несколько сервисов были взломаны. Одна машина Linux подверглась длительной атаке грубой силы; с помощью очень большого словаря SCS наконец-то смог взломать учетные записи. Затем злоумышленники создали точку опоры в системе и, пока они не были остановлены, пытались атаковать внутренние службы, минуя NGFW. Примерно в это же время SCS раскупили компьютер майнинга, который был захвачен CAICA, но защитники быстро поняли это и положили конец майнингу. Всего за 24 часа WAF команды защитников SRV отразили около 1 500 000 атак. Команда расширенного мониторинга зарегистрировала 30 инцидентов безопасности.

После обеда SCS, EpicTeam и Level 8 попытались заработать 250 000 кредитов на черном рынке, продавая компрометирующие материалы из текстовых сообщений, касающихся высшего страхового менеджера, как это сделали две другие команды в предыдущий день. Но одна из команд не смогла предоставить доказательства того, что рассматриваемая корреспонденция фактически принадлежала руководителю (такой информации не было в украденных данных), и, следовательно, получила только 100 000 кредитов. Другая команда получила только часть корреспонденции. Покупатель на черном рынке все еще платил за эту информацию, но гораздо меньше, чем команда могла бы предпочесть - всего 150 000 кредитов.

Тем временем True0xA3 начал проникать в энергетический сектор и рассылать сообщения об уязвимостях. Одна из них помогла им в атаке в 15:19 на электрической подстанции: команда отключила защитный терминал, что привело к нарушению нормальной работы.

Группа защитников Jet Security Team и RT SOC сообщили во второй половине дня, что злоумышленники получили полный контроль над незащищенным офисом Sputnik и оттуда нашли способы доступа к связанным с нефтью системам ICS. Злоумышленники много раз пытались прорваться сквозь ночь, но теперь они наконец нашли способ продолжить. Спутник не защитил свою сеть Wi-Fi, что позволило злоумышленникам получить доступ. Кроме того, были обнаружены учетные данные для удаленного доступа через TeamViewer к рабочей станции инженера ICS. Злоумышленники использовали это, чтобы захватить контроль над сессией. Серьезных атак пока обнаружено не было, но команда Jet Security и RT SOC предсказали нестабильные времена для нефтяного сектора города.

События не заставили себя долго ждать. К концу дня неизвестная команда провела локальную атаку на системы разгрузки танкеров: злоумышленники подошли к оборудованию и создали (возможно, случайно) петлю в локальной сети, которая отключала связь с ПЛК и SCADA одновременно. Это вызвало разлив нефти на танкер, но без серьезных последствий. Такая внимательная экспертная защита ICS (от полного мониторинга до перенастройки промышленного сетевого оборудования), показанная Jet Security Team, очень редко встречается в реальной жизни.

Но самое интересное событие произошло за час до конца игры. Городская система противодействия мошенничеству была отключена. Hack.ERS и invul : $ быстро переместились, чтобы воспользоваться. Но Hack.ERS была первой командой, которая автоматизировала транзакции, полностью очистив банк всего за 20 минут, получив около 2,7 миллиона кредитов. В результате команда взлетела с десятого места на первое, оттеснив прошлогоднего победителя CAICA с верхушки. Всего за 30 часов команда Jet Antifraud защитила городской банк, заблокировав 22 500 попыток мошеннических транзакций на сумму 97 000 кредитов.

Финальное табло

Акция накалилась и на обмен криптовалюты. Из 12 команд 6 занялись майнингом: CAICA, True0xA3, Hack.ERS, SCS, CrotIT и invul: $. Как и в реальной жизни, стоимость валюты сильно варьировалась от 5 кредитов на блок до 200. Цифры резко изменились за последний час. Всего было добыто 1776 блоков: CAICA - 620, True0xA3 - 515, Hack.ERS - 355, SCS - 133, CrotIT - 104 и invul: $ - 48. За два дня команды заработали: CAICA - 75 940 кредитов , True0xA3 - 40 200 кредитов, Hack.ERS - 35 100 кредитов, SCS - 12 680 кредитов, CrotIT - 19 605 кредитов и invul: $ - 960 кредитов.

В последние минуты конкурса True0xA3 вызвал общегородское отключение электроэнергии. Это было логическим продолжением действий команды, ведущих к этому моменту: изучение стенда, чтение исследований безопасности ICS и поиск необходимых утилит. Благодаря уязвимости в протоколе MMS они смогли вызвать короткое замыкание. (Та же атака была также выполнена два года назад на PHDays VI.) Система защиты должна была бы блокировать эту попытку, но True0xA3 отключил ее в предыдущий день. Железную дорогу тоже не пощадили: True0xA3 взял под свой контроль локомотив, но не успел ничего с этим поделать. Sploit00n обнаружил несколько уязвимостей на автоматизированном железнодорожном складе, позволяющих вносить изменения в логику ПЛК, но у команды не хватило времени, прежде чем пытаться вносить какие-либо изменения.

Sploit00n обнаружил несколько уязвимостей на автоматизированном железнодорожном складе, позволяющих вносить изменения в логику ПЛК, но у команды не хватило времени, прежде чем пытаться вносить какие-либо изменения

Модельная железная дорога

Продукты Positive Technologies также отслеживали работу в течение двух дней: MaxPatrol SIEM, PT Network Attack Discovery и PT MultiScanner. Например, обнаружение сетевых атак PT зафиксировало 11 769 526 атак. Для получения дополнительной информации об атаках и технических подробностях того, что было записано решениями Positive Technologies, следите за обновлениями к нашей следующей статье.

Все победили: последние мысли

Можно сказать, что в этом году все были победителями. 30 часов кибер-битвы в The Standoff еще раз доказали, что профессионалы в области безопасности могут обеспечить превосходную защиту, не затрагивая бизнес-логику или промышленные процессы. Злоумышленникам не удалось взломать защищенные цели, но они продемонстрировали последствия пренебрежения безопасностью. Некоторые цели и инфраструктура были оставлены полностью незащищенными, как это иногда бывает в реальной жизни, чтобы сделать соревнование более реалистичным и захватывающим. И чтобы убедиться, что защитники не злоупотребляли своим положением и несправедливо отклоняли условия в свою пользу (например, отключая службы для повышения безопасности), организаторы запускали специальные программы, чтобы убедиться, что все было в сети и доступно.

Первые три места заняли Hack.ERS, CAICA и Sploit00n. Для полных результатов смотрите итоговое табло ,

Чемпионы противостояния: команда Hack.ERS

Илья Карпов, эксперт по безопасности ICS и организатор стенда ICS, считает, что защитники победили, хотя злоумышленники создавали проблемы на подстанции. «Несмотря на то, что нефтяной сектор в The Standoff изобиловал преднамеренно установленными уязвимостями, ошибками конфигурации, точками доступа и даже физическим доступом, Jet Security Team обеспечила непревзойденную защиту. Мы не видели никаких сложных векторов атак, связанных с логическими изменениями в этом году: никто добрались до контроллеров, так как у защитников все было под контролем на 100%. Тем не менее, True0xA3 среди команд атакующих удалось выяснить, как работает подстанция - их атака была самой сложной из тех, что мы видели во время конкурса. В этом году мы ожидали увидеть атаки на сетевое оборудование, так как это то, на что нацелены в реальной жизни, но злоумышленники до сих пор пренебрегали такими методами ».

Михаил Помзов, член оргкомитета PHDays, говорит, что злоумышленники могли выполнить больше: «Все хакерские задачи в этом году были основаны на логике. Были скрытые цели, которые были разблокированы определенными действиями или событиями. Например, получение доступа к учетная запись на одном портале может позволить проникнуть на другие сегменты сети. Но злоумышленники использовали очень простые подходы и не прошли лишнюю милю. Они просто выполняли задачи и получали свои кредиты. Возможно, им просто не хватило времени ».

Михаил Левин, член оргкомитета PHDays, также взвесил: «Каждый год целью нашего проведения мероприятия является сосредоточение внимания на информационной безопасности и демонстрация существующих сценариев атак, а также способов противодействия им. думаю, что мы преуспели в этом году. Как мы можем не вспомнить тот критический момент в игре, когда злоумышленники и защитники собрались вместе, чтобы лучше понять сегмент промышленных процессов нашего цифрового города и как промышленные системы работают в целом. В конце концов, участники - это безопасность профессионалы в реальной жизни, которые создают системы защиты, противостоят атакам и ежедневно расследуют инциденты. И чтобы лучше защитить промышленные системы на практике, они должны выяснить, как эти системы функционируют. Здесь, в The Standoff, у них была возможность обмениваться опытом и осваивать новейшие методы и инструменты тестирования на проникновение в условиях, максимально приближенных к реальным ».

Защитник команды