Три дня подряд десять команд со всего мира пытались вывести деньги со счетов в банке, нарушить работу нефтегазовой отрасли, транспорта и устроить другие техногенные катастрофы. И 19 раз им удалось: государство в эти моменты могло и не устоять.
К счастью, хакеры были этичными, то есть заинтересованными в поиске уязвимостей, а не в причинении вреда. А их атаки были направлены не на реальную страну, а на макет виртуального Государства F, построенный на настоящих физических IT-системах и контроллерах.
Шесть команд защитников наблюдали за действиями атакующих и расследовали инциденты. Это происходило в рамках Standoff 10 — мероприятия, которое объединило масштабные открытые киберучения и конференцию по информационной безопасности.
Во время этого события компания Positive Technologies первой в России запустила программу bug bounty нового типа: теперь всем желающим предлагают не искать мелкие технические недочеты в защите системы, а попытаться воплотить в действие кошмар любой компании: хищение денег со счетов. Охотник за уязвимостями, багхантер, который сможет сделать это первым, получит беспрецедентное вознаграждение в 10 миллионов рублей. Признание в профессиональной среде прилагается.
Программа запущена на платформе Standoff 365, объединяющей сегодня более 3000 этичных хакеров. Она доступна для любого желающего попробовать свои силы и не ограничена по времени: кампания будет длиться непрерывно — пока кто-то все-таки не похитит деньги. В отличие от классических bug bounty, здесь атакующим разрешено использовать для проникновения практически любые способы проведения удаленных атак. Они могут даже использовать социальную инженерию, то есть искать не уязвимости кода, а слабые места персонала.
— Нам важно, чтобы наиболее опасные для компании события были гарантированно нереализуемы, — сообщил Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Поэтому мы посмотрели на bug bounty по-новому и переориентировали атакующих с обнаружения исключительно технических проблем на поиск способов реализации недопустимых для нашего бизнеса событий — в частности, на этом этапе мы проверяем возможности кражи денег со счетов компании. Такая постановка задачи на порядок усложняет работу исследователя, так как ему нужно разобраться с тем, как выстроены бизнес-процессы, обойти системы защиты и продемонстрировать факт хищения денег.
Но вернемся к кибербитве и ее участникам. Первое место среди команд атакующих заняла интернациональная команда Hexens Academy, второе место — у международной Stun, а третье — у китайской Straw Hat. Последняя совершила больше всего критичных взломов: на счету ее участников пять катастроф в трех сегментах Государства F. В итоге «красные» реализовали 19 недопустимых событий, 8 из них уникальные. Всего можно было совершить 96 уникальных прорывов.
Наибольшей популярностью со стороны нападающих пользовалось мошенничество в системе продаж железнодорожных билетов (семь событий из 19).
Две команды защитников ЖКХ и транспорта расследовали семь из восьми атак на свои сегменты. Еще три команды раскрыли по одному событию, с которыми столкнулись их отрасли. Среднее время дознания по всем командам — 6 часов 21 минута.
А в заключительный день киберучений Stun распространили в банковской системе вирус-шифровальщик. Этот день долго будет сниться специалистам в кошмарах. Тем более, что аналогичный случай произошел в 2020 году с крупнейшим банком Чили. Тогда, считают специалисты, один из сотрудников банка открыл вредоносный документ Office, полученный по почте, и тем самым способствовал распространению вируса по системе. Из-за действий хакеров работа всех отделений финансовой организации была остановлена на несколько дней.
Но практическими действиями на Standoff 10 не ограничились. Эксперты в сфере ИБ рассказали, как злоумышленники атаковали российские компании в 2022 году, выделили ключевые тенденции отрасли и дали прогнозы на следующий год.
В 2022 году по-прежнему «в моде» были атаки на цепочку поставок (supply chain attack). То есть, в этом случае злоумышленники используют взлом одной системы для атаки на другую. Также актуальными оставались и взломы через внешние зависимости, то есть через «закладки» в программном обеспечении (в том числе с открытым кодом — open source), используемом в компаниях. Вредоносный код может в таких случаях внедряться, например, через плановое обновление ПО.
Существенно возросло количество DDoS-атак, то есть массовых воздействий, которые приводят к отказу работоспособности системы под нагрузкой.
В 2023 году эксперты прогнозируют вторую волну кибератак на российский сегмент интернета, которые будут уже не массовыми, а целенаправленными, сложными и хорошо подготовленными.
В прямом эфире гости обсуждали и другие острые проблемы отрасли: замену ПО иностранных вендоров, развитие отечественного ПО с открытым кодом, атаки шифровальщиков, при которых невозможно заплатить выкуп.
АО «Группа Позитив», group.ptsecurity.com/ru
