Цифровое зеркало

Финал The Standoff: морской порт и железная дорога не подверглись атакам хакеров

Более 20000 участников, свыше 70 докладов и круглых столов, 6 дней практического интенсива и противостояние 2 сторон – атакующих и защитников информационных систем виртуального города, копии реального мира... Киберполигон The Standoff1 позволил увидеть последствия хакерских атак в условиях, максимально приближенных к реальности. На макете города с технологическим ландшафтом и производственными цепочками прототипов реальных логистических, транспортных, энергетических инфраструктур, систем умного городского хозяйства, финансовых и телекоммуникационных компаний один за одним реализовывались бизнес-риски аэропорта, парка развлечений, газораспределительние станции, нефтедобывающей компании, теплоэлектростанции, банка и владельцев рекламных щитов в городе. Взломщики компьютерных систем имеют возможность устраивать диверсии на любых типах современных предприятий. Киберпреступникам могут быть доступны инструменты, которые позволяют получать доступ практически в любое помещение, подделывать голос за считанные секунды, расшифровывать зараженные вирусными программами данные и перехватывать любые данные со смартфонов в сетях 5G – об этом предупредили эксперты, выступившие с докладами на конференции The Standoff.
4 декабря 2020

Призовые места среди команд атакующих распределились следующим образом: 1 место — команда Codeby (27123 баллов, 12 киберрисков) 2 место — команда back2oaz (24463 баллов, 12 киберрисков) 3 место — команда back2oaz (24463 баллов, 12 киберрисков)

Всего команды нападающих реализовали 47% от общего числа заложенных киберрисков. Причем 2 из 24 реализованных киберрисков не были изначально заложены организаторами в программу соревнования. Всего организаторы рассмотрели более 50 кейсов успешного выполнения конкурсных заданий. А среди команд защитников сетевых инфраструктур — более 200. Наибольшее количество прецедентов хакерских атак было обнаружено командами IZ:SOC и CT&MM. Всего участники расследовали 21 инцидент. В среднем на 1 расследование каждой команде требовалось 11 часов 50 минут, но некоторые команды управлялись чуть более, чем за 40 минут. В ходе кибербитвы The Standoff все объекты виртуального города столкнулись с атаками и их последствиями. Например, на нефтехимическом заводе Nuft была спровоцирована авария на производстве и утечка ядовитых веществ. Атакующие сумели получить доступ к системе управления, им удалось закрыть входной клапан в холодильный контур, что стало причиной перегрева и в итоге нарушения производственного процесса. Вскоре из-за данной атаки производство полностью остановилось. В нефтедобывающей компании командам нападающих удалось полностью парализовать работу нефтедобывающего оборудования. Также они завладели доступом к системе управления хранилищем нефтепродуктов, нарушили процесс транспортировки сырья в хранилище и остановили работу контроллера, который управлял процессами транспортировки нефтепродуктов. Данные операции выполнялись последовательно. В парке развлечений компании 25 Hours атакующим удалось обрушить колесо обозрения.

Одна из команд-участниц взломала систему управления аттракционом и переназначила показатели скорости его вращения до предельно высоких— в результате чего и произошло чрезвычайное происшествие. После того, как организаторы восстановили работу колеса, нападающие вновь остановили работу контроллера, управляющего аттракционом, чтобы сделать невозможным выход посетителей, и полностью отключили его освещение. Также были отмечены успешные атаки на банк, во время которых нападающим удалось украсть деньги со счетов горожан, а также выведать их карточные данные (имена, информацию по остатку средств на счете, номера карт и пр.). Еще в двух компаниях атакующими была похищена ценная документация, а у пяти — персональные данные сотрудников. Буквально в последние минуты соревнований команде back2oaz (команда нападения) удалось получить контроль над системой кондиционирования в одной из компаний и существенно изменить температуру воздуха в офисных помещениях.

Множество рисков, реализованных на киберполигоне The Standoff, было связано с несовершенной защитой веб-сайтов. Возникали сбои в работе сайта по продажам билетов в парк аттракционов, а также цифровых сервисов по продаже авиабилетов и регистрации пассажиров на авиарейсы. Но основной целью атакующих, как правило, становился доступ к локальным сетям компаний для нарушения работы их цифровой инфраструктуры.

Первую уязвимость выявили участники команды n0x в системе компании Nuft спустя всего 19 минут перед началом соревнований. Всего за время киберполигона было выявлено 433 уязвимости (в среднем выявлялось 3 уязвимости в час). Почти в каждом втором сданном организаторам отчете содержалась информация о внедрениях SQL-кода, а еще примерно 25% — недостатки систем, позволяющие выполнять произвольный код на сервере. Причем порядка 33% уязвимостей было выявлено в 2 компаниях: Nuft и Big Bro Group. Сразу 8 рисков совокупно реализовалось в инфраструктуре компании 25 Hours, управляющей деловым центром виртуального города: его системой вентиляции, светофорами и парком развлечений. Еще 7 уникальных рисков было реализовано в нефтяной компании Nuft. Наиболее защищенными от атак оказались только железнодорожная станция и морской порт.

Для жизни и здоровья опасен каждый третий риск

Директор по развитию бизнеса Positive Technologies в России Максим Филиппов отмечает, что каждый третий риск, представленный на киберполигоне, является весьма опасным, в том числе может влиять на физическую безопасность людей. В своем выступлении на бизнес-сессии ИД «Коммерсант», которая прошла в рамках работы киберполигона The Standoff, он отдельно отметил, что в этом году перед всеми участниками стоял ряд новых вызовов.

Максим Филиппов, директор по развитию бизнеса Positive Technologies в России

— Каждому объекту на киберполигоне присущи те или иные бизнес-риски: остановка производства, утечка персональных данных, потеря конфиденциальных документов и т. п., — рассказал Максим Филиппов. — Здесь нет векторов атак. Мы отдаем площадку в распоряжение атакующих команд (red teams), которые ломают системы, исследуют их. Мы же наблюдаем, как взламываются системы, анализируем трафик и цепочки атак. На выходе получаем ценную экспертизу, которая затем идет в наши продукты, – говорит Максим Филиппов.

— Мы не ожидали, что половина рисков будет реализована. Это очень много, особенно учитывая, что было мало времени. В этом году уровень атакующих сильно вырос, – комментирует Дмитрий Серебрянников, директор по анализу защищенности Positive Technologies.

— В этом году защита должна была доказать, что может отследить инцидент поэтапно. Основная цель была следить за работой сервисов и как можно быстрее устранять сбои, вызванные действиями атакующих. Эффективность команд защитников оценивалась по количеству зафиксированных атак, по среднему времени расследования инцидента — и времени доступности инфраструктуры: чем этот параметр ниже, тем слабее действуют защитники, а атакующие наносят больше вреда, — отметил Михаил Помзов. директор департамента базы знаний и экспертизы Positive Technologies. случай поимки. Однако сегодня для банков важнее не крепость дверей, а кибербезопасность.

Согласно утверждению директора по исследованиям Cyber R&D Lab Тимура Юнусова, многие банки сегодня довольно плохо защищены от финансовых махинаций. Он вспомнил примеры нескольких случаев хакерских атак, результатом которых стала кража с банковских счетов нескольких сотен тысяч и миллионов евро. Также были разобраны основные ошибки специалистов по информационной безопасности и даны практические советы по повышению безопасности. К слову, в некоторых случаях для противодействия внешним угрозам не нужно было внедрять сверхсложные решения, например на базе технологии искусственного интеллекта — устранения зрения ИБ совсем мало. Эту позицию разделяет, директор по информационной безопасности телекоммуникационных систем Positive Technologies Дмитрий Курбатов.

Дмитрий Курбатов,
директор по информационной безопасности телекоммуникационных систем Positive Technologies

Архитектура 5G во многом основана на технологиях сетей предыдущих поколений, и поэтому все уязвимости этих сетей остаются актуальными. Во время доклада на The Standoff Дмитрий продемонстрировал, как атакующий может с помощью MITM-атаки через уязвимости в протоколе PFCP перехватить данные подключенного к 5G смартфона, — и анонсировал новое исследование безопасности 5G, которое ожидается в конце года».

Вирусы-вымогатели стали автоматизированными

Вирус-шифровальщик STOP (Djvu) использовался злоумышленниками для атак на приложения — как это произошло с компьютером одного из друзей руководителя отдела анализа приложений Positive Technologies Дмитрия Склярова. «Они зашифровали ценные данные и потребовали выкуп в биткоинах, эквивалентный сумме в 980 долларов. Друг исследователя решил, что «с террористами переговоров не ведут», и попросил помощи у Дмитрия. В ходе выступления на The Standoff докладчик рассказал, как ему удалось восстановить данные и найти онлайн-ключи для жертв STOP (Djvu), используя различные криптографические методы».

Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies

На тему вымогателей выступил и ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин. Он обсудил тактики, методы и процедуры операторов вирусов-вымогателей Conti, Ryuk, Prolock, DoppelPaymer, CI0p, Maze и TinyCryptor и заявил, что «шифровальщики стали наиболее заметной проблемой ИБ в уходящем году. Появилось огромное количество нового вымогательского ПО и атаковать стали крупные корпорации, такие как Canon и Garmin. В результате максимальные размеры выкупов значительно увеличились, например Garmin пришлось заплатить за расшифровку 10 млн долларов». Схожие опасения высказал и руководитель глобального центра исследований и анализа угроз (GREAT) «Лаборатории Касперского» Костин Райю.

— Если в 2017 году программы-вымогатели в основном просили маленький выкуп (от 100 до 300 долларов) и целями атакующих были частные пользователи и их персональные компьютеры, то примерно с конца 2017 года этот тренд изменился и атаки стали сложнее. Одним из трендов этого года эксперт назвал стремление хакеров публиковать предварительно зашифрованную информацию и шантажировать компании-жертвы. Поэтому компании платят миллионы долларов, опасаясь репутационных потерь.

Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов рассказал, что в 2020 году хакеры не только шифровали данные и требовали от жертв заплатить выкуп, но еще и ищут уязвимости в средствах удаленного доступа, взламывают домашние компьютеры сотрудников компаний с целью получить через них доступ в корпоративную инфраструктуру.

Лица и голоса могут быть подделаны

Алгоритмы искусственного интеллекта стали использоваться не только экспертами ИБ, но и киберпреступниками. Архитектор систем защиты информации компании Fortinet Вячеслав Гордеев выступил с докладом, в котором упомянул особенности работы с технологиями машинного обучения, нейросетей и глубоких нейронных сетей. Они используются для фильтрации спама, пассивного анализа трафика, поиска вредоносного ПО или защиты веб-приложений. Атакующие также берут на вооружение эти технологии для сбора информации для подделки биометрических данных (записей голоса, изображений лица), подбора паролей и поиска уязвимостей.

Фальшивая биометрия стала отдельной темой выступлений исследователей безопасности из компании BBVA Next Technologies Мигеля Эрнандеса Боса и Хосе Игнасио Эскрибано. Они упомянули алгоритмы, инструменты и техники, применяемые при генерации и обнаружении фальшивых данных в различных форматах (аудио, изображения, текст и др): «Сегодня существуют открытые инструменты, позволяющие клонировать голос на основе всего пяти секунд аудио, заменять лица на видео или создавать уникальные аватары. Их можно использовать для атак как на конкретных людей (с целью испортить их репутацию), так и на организации. Создание синтетических личностей становится все проще, а борьба с ними — сложнее. Эксперты в ходе доклада показали ограничения различных инструментов и техник создания синтетических данных; это поможет специалистам по безопасности в их обнаружении».

Исследователь ИБ американского стартапа r2c Василий Ермилов рассказал о киберугрозах, таящихся в технологии динамического рендеринга. Их используют преимущественно для предоставления краулерам (Google, Slack, Twitter-бот) предварительно обработанных страниц сайтов для совершенствования SEO. Однако «неверная настройка динамического рендеринга открывает злоумышленникам возможность для проведения SSRF-атак. Причем для этого им не нужно будет тратить серьезные усилия, а еще более усугубляет ситуацию тот факт, что динамический рендеринг всегда применяют для самых важных и популярных страниц сайтов. Василий описал свой опыт поиска уязвимостей в сервисе Rendertron, который позволил ему получить контроль над одним из непубличных приложений. Кроме того, эксперт рассказал о том, как использовать опенсорсные инструменты, чтобы ускорить процесс выявления уязвимостей».

Microsoft представляет новые подходы к защите

Хакеры все чаще сменяют фокус на уровень прошивки и пытаются скомпрометировать процедуру загрузки системы. Один из примеров — уязвимость BootHole. В 2018 году уязвимости в прошивке использовала группировка Strontium. Об аппаратных механизмах защиты Windows 10 рассказал Артем Синицын, руководитель программ ИБ Microsoft в Центральной и Восточной Европе. Инициатива Secured-core PCs (SecOps) поддерживает создание компьютеров на базе Windows 10, защищенных от внешних атак на уровне прошивки. Такие системы обеспечивают биометрическую идентификацию без риска утечки данных, безопасное хранилище информации о кредитных картах и других критически важных данных, безопасную загрузку, защиту от буткитов и т. п. Помимо Microsoft Surface, на рынке уже есть устройства, поддерживающие Secured-core PCs, таких производителей, как Dell, Dynabook, HP, Lenovo, Panasonic.

Что угрожает разработчикам?

Иногда сами продукты для проверки качества кода или анализа уровня защищенности также могут стать точкой входа для атак профессиональных киберпреступников. Руководитель группы перспективных исследований безопасности компании Huawei Денис Макрушин упомянул в своем докладе платформу с открытым исходным кодом для анализа качества и защищенности программного кода SonarQube. Он рассказал о способе обнаружения десятков и сотен инсталляций, доступных из сети, с отсутствием какой-либо аутентификации, находящихся по простым запросам в Shodan. Недостатки аутентификации открывают доступ к программному коду, который разрабатывается или проверяется в организациях. Разработчики и QA-инженеры иногда выкладывают скрипты с конфиденциальной информацией в публичные репозитории, где можно обнаружить в том числе учетные данные или приватные ключи и сертификатами. В GitHub-scrapping это выполняется по запросам «product_name+pass» или «domain_name+private». А инсталляции коммерческого решения Checkmarx обнаруживаются по запросу вида «CxWebclient». Выявление и устранение подобных утечек информации можно проводить с помощью решения secretmanagement: например, с Hashicorp Vault.

Про QA-инженеров вспомнил в своем докладе архитектор решений компании EPAM Сергей Горохов, он рассказал про процесс безопасной разработки, к которой должны привлекаться подразделения AppSec и Security Testing. По его мнению, «при оценке рисков, составлении требований, моделировании угроз, выстраивании архитектуры тестировщики должны присутствовать наравне с разработчиками, помогая последним».

Аналитик ВПО Станислав Раковский рассказал о возможностях модификации взломщиками файлов PyInstaller (используются, если разработчик планирует распространять файлы Python, независимые от пользовательского окружения и интерпретатора) и добавления в них полезной нагрузки. Помимо полезной нагрузки во встроенный интерпретатор можно добавить различные антиотладочные инструменты и проверки на антивирусные продукты, чтобы модифицированное ПО могло скрыться в окружении, которое не устраивает атакующего. А обнаружить такие изменения в интерпретаторе весьма сложно.

Как найти иголку в стоге сена?

Инциденты ИБ нужно обогащать данными, чтобы верно расставить приоритеты, маршрутизировать уведомления и эффективно реагировать на события ИБ, нужно помнить, что «мусор на входе» дает «мусор на выходе». Руководитель ключевых проектов компании «Ростелеком-Солар» Александр Кузнецов пояснил, что если оператор SOC получает некорректные или неполные данные, то они поступают в карточку инцидента и серьезно затрудняют расследование. Лучшими источниками данных автор назвал продукт Kaspersky Security Center, IPAM (служба управления IP адресами), AD DS (Active Directory Domain Services), TIP (платформа анализа информации об угрозах), EDR (система обнаружения сложных угроз на конечных точках). Что касается CMDB (база данных управления конфигурации), то эти решения, по мнению спикера, пока не полностью готовы для рассматриваемых в докладе задач. Проблемой для обогащения инцидентов становится удаленная работа — сотрудники стремительно меняют локации, технику и используют динамические IP-адреса. Если ничего для обогащения инцидентов нет, то можно начать даже с таблиц в Excel, но в зрелой инфраструктуре, конечно же, лучше использовать системы класса IRP или SOAR.

— Хороший SOC правильно работает тогда, когда его сотрудники понимают, как их могут атаковать и какие тактики и техники атак на текущий момент используют хакеры, — заявил директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies Алексей Новиков. — Сотрудник SOC должен самообразовываться, изучать новые материалы. Это постоянная тренировка мозгов и стремление быть лучшим в области мониторинга и расследования инцидентов.

Алексей Новиков,
директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies

Исследователь вредоносного ПО Роман Ладутько поделился опытом работы своего коллектива по анализу активности одного из крупнейших ботнетов, Dridex. Для определения места, где владельцы ботнета нанесут следующий удар, приходится изучать вредоносные документы, проводить поиск доменов исерверов, а также отслеживать связь со сторонними ботнетами и периоды их активности.

В завершение мероприятия генеральный директор Positive Technologies Юрий Максимов рассказал об уникальном опыте, полученном в рамках битвы и оценках участников.

Юрий Максимов,
генеральный директор Positive Technologies

— Киберполигон The Standoff вышел на тот уровень, когда десятки команд нападающих и защитников с горящими глазами говорят «Ребята, это похоже на правду!» Что особенно ценно, наблюдаемое нами противостояние действительно получилось очень точной моделью реальной жизни. А это открывает самые смелые перспективы. По правде говоря, наши информационные продукты для обнаружения, блокирования атак и расследования инцидентов впервые попали в столь агрессивную атакующую среду. Думаю, что каждый участник The Standoff получил поистине уникальный опыт, который позволит сделать продукты для ИБ умнее. А умные продукты освобождают людям время для творческой работы.