Всем привет!
В этом материале мы подводим итоги IV Международного киберчемпионата
по информационной безопасности. Он стал рекордным по количеству участников:
мы собрали 190 заявок из 26 стран мира, из них отобрали 117 команд (40 команд было
в 2024 году). За победу сражались около 500 киберзащитников. Финал киберчемпионата состоялся на ежегодной конференции ЦИПР-2025 в Нижнем Новгороде, и мы уверены,
что он добавил динамики в международную программу форума.
Благодарим Минцифры России за поддержку киберчемпионата и МИД России за помощь
в привлечении иностранных команд и продвижении формата киберучений в самых неожиданных уголках нашей планеты. И конечно же особая благодарность нашему технологическому партнеру – «Лаборатории Касперского».
Герои нашего материала:
Сергей Кулаков, технический директор департамента, «лицо» киберчемпионата.
Алексей Плющев, бессменный руководитель проектов по проведению масштабных мероприятий.
Олег Матирный, руководитель одела исследований, автор и идеолог этого мероприятия,
и его команда экспертов.
Дмитрий Сютов, руководитель отдели инфраструктурных решений, повелитель инфраструктур и СЗИ, и его команда экспертов.
Ольга Исаева, руководитель группы проведения мероприятий, человек, которого узнают
все участники киберчемпионата (которые приходили на брифинг 😊), и её команда тренеров и менеджеров.
Зоя Иноземцева, методолог-аналитик, человек которого никто из участников не узнает,
но каждый видел её замечательные «Руководства пользователей».
Павел Фролов, руководитель отдела разработки, и Светлана Яковлева, менеджер продукта, создавшие вместе со своей командой платформу Solar CyberMir.
Сусанна Мгдесян, старший менеджер по продуктовому маркетингу, Ирина Жаркова
и Наталья Громова, руководитель и менеджер группы по проведению мероприятий, Елена Трубинова (PR), благодаря которым мир узнал про киберчемпионат.
Благодарим всю команду «Солара», без усилий которой киберчемпионат не состоялся бы!
Как мы собрали лучших киберзащитников мира
К участию в отборочном этапе Международного киберчемпионата мы пригласили:
сотрудников государственных организаций, готовых продемонстрировать свои навыки
в борьбе с киберугрозамикоманды реагирования на чрезвычайные ситуации (CERT)
специалистов центров обеспечения информационной безопасности (SOC)
В соревнованиях приняли участие ИБ-специалисты, которые обеспечивают киберзащиту IT- и ИБ-интеграторов, крупнейших российских промышленных, горнодобывающих, энергетических компаний и авиалиний, ритейлеров и e-commerce-сегмента, строительного, финансового и телеком-сектора. Заявки на участие также подали представители госсектора, силовых структур и вузы Центрального, Южного и Дальневосточного федеральных округов.
Более 90 заявок мы получили от иностранных команд. Среди них семь стран СНГ – Беларусь, Армения, Узбекистан, Кыргызстан, Туркменистан, Таджикистан, Казахстан, −
и 6 африканских государств. Интерес к соревнованиям также продемонстрировали киберзащитники из стран Юго-Восточной и Центральной Азии, включая участников
из наиболее развитых «цифровых» государств региона – Индии, Таиланда, Малайзии
и Вьетнама. Впервые за победу в киберчемпионате также сразились команды из Латинской Америки.
После обработки 190 заявок мы отобрали 117 команд из 26 стран: 44 команды из РФ, 31 команда из стран СНГ (Беларусь, Армения, Казахстан, Кыргызстан, Таджикистан, Туркменистан, Узбекистан) и 42 англоговорящие команды (Алжир, Бангладеш, Венесуэла, Вьетнам, Гвинея, Индия, Ирак, Куба, Лаос, Малайзия, Мали, Мексика, Монголия, Пакистан, Таиланд, Танзания, Эфиопия, Южно-Африканская Республика).
Затем мы разделили всех участников на 3 группы:
Группа 1 – команды из России
Группа 2 – команды из стран СНГ
Группа 3 – команды, говорящие на английском языке.
Три жарких дня отборочного этапа, или полное погружение в CTF
Отборочный этап мы запустили с 26 по 28 мая в формате Task-Based (Jeopardy) CTF (Capture the Flag) на платформе CyberMir.
Для каждой группы команд мы выделили один день. У киберзащитников было 6 часов
на выполнение заданий, которые были одинаковыми для всех групп. Участникам предстояло решить 30 заданий различной степени сложности, которые мы распределили по шести категориям: криптография (Crypto), форензика (Forensic), стеганография (Stegano), реверс-инжиниринг (Reverse), развлекательные задачи (Joy) и веб-безопасность (Web).
В каждой категории мы предложили участникам по пять задач – от простых к более сложным. «Стоимость» заданий варьировалась от 100 до 500 баллов и возрастала по мере усложнения. Таким образом, каждая категория давала возможность набрать 1500 баллов, максимально команда могла набрать 9 000 баллов.
В таблице приводим цифры по общему количеству верно решённых заданий по категориям:
Категория заданий | Сколько заданий | Количество запланированных заданий | % Выполнения заданий |
Reverse | 301 | 585 | 51 % |
Forensic | 228 | 585 | 39 % |
Joy | 178 | 585 | 30 % |
Web | 177 | 585 | 30 % |
Stegano | 163 | 585 | 28 % |
Crypto | 147 | 585 | 25 % |
Самой успешной категорией стала Reverse – команды успешно справились с 51 % заданий по исследованию кода. Наибольшую популярность по итогам отборочного этапа получило задание Baby Rev (стоимостью 100 баллов) из этой же категории: с ним справились 94 команды из 117. Наиболее сложными для участников стали задания по криптографии,
верно решили около 25 % всех заданий. Категория Crypto включала задания, связанные
с расшифровкой сообщений, защищенных различными методами шифрования.
Задание Masking Madness из категории Crypto не решила ни одна из команд. Оно относится к наиболее сложным заданиям «стоимостью» 500 баллов.
Олег Матирный, руководитель отдела исследований кибербезопасности и разработки сценариев киберучений, раскрыл секреты Masking Madness.
Формат флага: solar{}
Описание:
Мы зашифровали флаг при помощи нашей кастомной маскировки, основанной на побитовых XOR и циклических сдвигах. Все просто! Никакой AES, никакого RSA. Только легкий битовый хаос. Но если ты умеешь распутывать XOR-овую паутину, флаг твой.
Description:
We encrypted the flag using our custom obfuscation based on bitwise XORs and cyclic chifts. It`s simple! No AES, no RSA. Just a little bit chaos. If you can untangle the XOR web, the flag is yours.
Зашифрованный флаг:
161 66 111 38 77 29 217 205 135 48 165 15 206 253 226 245 31 223 94 4 109 98 185 245 67 14 68 23 26 117 180
Идея задачи:
Флаг зашифрован кастомной функцией вида:
cipher = []
state = key
for b in plaintext:
k = (state ^ ((state << 3) | (state >> 5))) & 0xFF
c = b ^ k
cipher.append(c)
state = (state + b + 0x42) & 0xFF
Решение:
Из описания можно сделать предположение, что:
каждый байт зашифрован с помощью XOR с какой-то маской;
маска генерируется от некоего state;
state меняется от байта к байту.
То есть получается что-то вроде:
cipher[i] = plaintext[i] ^ mask[i],
где mask[i] = f(state[i])Известен шаблон флага: solar{ - первые 6 байт известны, что означает:
plaintext[0] = ord(‘s’) = 115
plaintext[1] = ord(‘o’) = 111
plaintext[2] = ord(‘l’) = 108
plaintext[3] = ord(‘a’) = 97
plaintext[4] = ord(‘r’) = 114
plaintext[5] = ord(‘{‘) = 123Из этого можем получить первые 6 байт маски:
mask[0] = cipher[0] ^ 115
mask[1] = cipher[1] ^ 111
mask[2] = cipher[2] ^ 108
mask[3] = cipher[3] ^ 97
mask[4] = cipher[4] ^ 114
mask[5] = cipher[5] ^ 123Дальше – самое сложное, необходимо подобрать функцию, которая может давать такие значения. Здесь нужно угадать шаблон маски.
Сама маска:
mask = (state ^ ((state << 3) | (state >> 5))) & 0xFFДополнительно необходимо помнить, что state также меняется от предыдущего символа, это также можно решить методом подбора по известным символам.
state = (state + b + 0x42) ^ 0xFFПосле того, как все части загадки известны, можно написать функцию, которая расшифрует наш флаг:
def decrypt(cipher, key_guess):
state = key_guess
plain = []
for c in cipher:
k = (state ^ ((state << 3) | (state >> 5))) & 0xFF
b = c ^ k
plain.append(b)
state = (state + b + 0x42) & 0xFF
return bytes(plain)
with open("encrypted.txt") as f:
cipher = list(map(int, f.read().split()))
for key_guess in range(256):
pt = decrypt(cipher, key_guess)
if pt.startswith(b"solar{"):
print("[+] Key:", key_guess)
print("[+] Flag:", pt.decode())
break
[+] Key: 80
[+] Flag: solar{b1t_tw1st_m@sk1ng_1s_fun}Итоги отборочного этапа: в горячей "тройке" – Вьетнам, Беларусь и Россия
По итогам отборочного этапа финалистами стали команды, набравшие наибольшее количество баллов в своей группе. Лучшими в англоговорящей группе стали вьетнамские киберзащитники VCI.Blueteam, в группе СНГ – Беларусь. В российской группе лидером отборочного этапа стала команда CUT из Центрального университета, которая обошла ряд сильнейших команд страны.
Но сразу отметим, что в этом году конкуренция в группах была очень острой. Было много команд-открытий из Вьетнама, Коста-Рики, Армении и других стран, которые проявили себя на голову выше соперников.
№ Группы | Команда | Страна | Сумма баллов |
1 | CUT | Россия | 4 500 |
2 | 0x4B1D | Беларусь | 5 100 |
3 | VCI.Blueteam | Вьетнам | 7 200 |
Небольшой оффтоп: после отборочного этапа вьетнамцы дали интервью Voice of Vietnam, в котором поделились своим опытом участия в киберчемпионате. Пара эпизодов из интервью команды на русском языке:
Как в финале на ЦИПРе встретились Россия, Беларусь и Вьетнам
2 июня в финале, который проходил в формате Defence Challenge, встретились три команды.
Им предстояло вжиться в роль Blue team и на практике отработать навыки по детектированию кибератак и реагированию на них.
В финале киберчемпионата командам необходимо было выполнить 3 задачи:
отразить кибератаки команды организаторов
предпринять необходимые действия по защите и возвращению контроля над узлами своей инфраструктуры
удалить флаги, которые организаторы размещали на инфраструктурах команд
Мы устроили им красочную зарубу в финале,
Сергей Кулаков, технический директор департамента "Киберполигон"
ГК "Солар"
В финале киберчемпионата мы серьезно повысили ставки и обострили конкуренцию между командами. Так, в логику соревнований были заложены сценарии наиболее распространенных и опасных типов киберугроз, которые зафиксировали наши коллеги − эксперты Центра противодействия кибератакам Solar JSOC − с декабря 2024 года по май 2025 года.
Наши финалисты могли проверить себя на прочность в условиях, отражающих актуальный российский и международный киберладшафт и прокачать свои навыки
в условиях, максимально приближенным к самым сложным вызовам для киберзащитников,
Сергей Кулаков, технический директор департамента "Киберполигон"
ГК "Солар"
В начале финала киберчемпионата у каждой Blue Team было 0 баллов, баллы начислялись пропорционально времени удержания контроля над виртуальными машинами. Специализированное ПО в автоматическом режиме считывало время нахождения флага
на виртуальных машинах, постоянно проверяя наличие этого файла. Время суммировалось
для каждой виртуальной машины в рамках одной инфраструктуры.
После подключения к инфраструктуре команды начали проводить работы по защите инфраструктуры, самостоятельно устанавливали ПО, в том числе Open Source решения или коммерческие СЗИ. Через полчаса после подключения финалистов в игру вступила команда нападающих от «Солара», в задачи которой входил захват и удержание виртуальных машин. Была разработана пошаговая стратегия работы, которая обеспечила нарастание сложности от разведки и получения первоначального доступа до удержания контроля над инфраструктурой.
Первое нарушение допустила белорусская команда 0x4B1D, участники заблокировали порты. Однако команда оперативно устранили проблему за 10 минут и избежала штрафа. Вскоре ошибка произошла у вьетнамской VCI.Blueteam: команда заблокировала три виртуальные машины и офисный сегмент, но также успела всё восстановить в отведённое время. Первый штраф в финале получила команда VCI.Blueteam – повторная блокировка портов обернулась потерей 9 баллов.
Команда 0x4B1D долго держала оборону: в течение 3 часов атакующие не могли пробить их защиту. Однако к 15:00 более половины офисного сегмента оказалось захвачено – это был первый серьёзный урон. Восстановление заняло около 40 минут: в результате команда почти полностью вернула контроль над инфраструктурой.
В результате белорусские киберзащитники набрали 6 149 баллов за эффективную защиту своей инфраструктуры, став абсолютным лидером чемпионата.
«Серебро» завоевала команда Центрального университета (CUT), получившая 5 588 очков, а «бронзу» – киберзащитники из Вьетнама (VCI.Blueteam) с результатом в 5 280 очков.
№ | Команда | Страна | Баллы |
1 | 0x4B1D | Беларусь | 6 149 |
2 | CUT | Россия | 5 588 |
3 | VCI.Blueteam | Вьетнам | 5 280 |
Вьетнамская команда произвела фурор по итогам CTF-этапа, набрав 7200 очков, и лидировала в зачете турнира с большим отрывом от соперников. Азиатские киберзащитники достойно продемонстрировали свои компетенции в двух этапах, но уступили обладателям «золота» и «серебра» лишь из-за нехватки опыта в классическом противостоянии оборонительной и наступательной кибербезопасности. Этот пример демонстрирует необходимость регулярного тестирования навыков в различных форматах, чтобы оценить уровень команды в условиях реальных кибератак,
Сергей Кулаков, технический директор департамента "Киберполигон"
ГК "Солар"
Награды нашли героев
К сожалению, мы не можем раскрыть имена победителей из команды 0x4B1D (но можем быть спокойны за киберзащиту одного из банков, входящих в ТОП-10 в Беларуси). 😊
С большой радостью мы поздравили команду серебряных призеров из Центрального университета в составе: Леонид Антонюк, Андрей Баков, Родион Гудзь, Савва Серебряков. Молодцы!
Вьетнамскую команду мы пригласили на SOC Forum-2025, где и вручим им заслуженный кубок!
Кроме того, обладатели кубка за первое место получили скидку в размере 25% на однодневные киберучения и три образовательные программы Solar Method. Плюс два месяца бесплатного доступа к платформе для анализа безопасности приложений на уровне кода Solar appScreener и 50 облачных лицензий для тестирования навыков киберграмотности. Команды, занявшие второе и третье место, получили скидку 25 % на 3 образовательные программы Solar Method, рекомендованные под выявленные на чемпионате слабые стороны.
О технологиях в основе IV Международного киберчемпионата по информационной безопасности
Для кибертурнира мы предоставили новейшую версию платформы Solar CyberMir, которую в ходе чемпионата испытали около 500 киберзащитников. На базе платформы мы организуем соревнования в самых разных форматах – от «классики» Red vs. Blue для 56 команд в облачном и on-premise формате, а также командно-штабные тренировки, квизы, квесты и соревнования Task-based (Jeopardy) и другие форматы CTF в онлайн-режиме.
В основе платформы – движок Solar Quest, который позволяет интегрировать
в киберсоревнования логику приключенческих компьютерных игр. Такой подход увеличивает вариативность сценариев киберучений и позволяет более точно оценивать, насколько эффективно действуют ИБ-специалисты, какие возможности реагирования и расследования инцидентов они упускают или, напротив, задействуют чаще.
Платформа СyberMir поддерживает российские системы виртуализации, позволяющие
в динамичном режиме формировать инфраструктуру в зависимости от действий киберзащитников и принятых ими решений. Таким образом в ходе кибертурниров и киберучений создается эффект адаптивной и «живой» среды.
Наш технологический партнер — «Лаборатория Касперского» — предоставила участникам SIEM-систему KUMA и Kaspersky Unified Monitoring and Analysis Platform.
Следующий этап нашего марафона – Кибербитва на SOC Forum в Москве
Как это было в прошлом году, можно посмотреть здесь.
Скоро объявим отбор на Кибербитву, следите за нашими новостями!
