Кибербитва Standoff 13 — это противостояние синих и красных команд. Одни атакуют, другие защищаются. По накалу страстей сражение не уступает встречам "Зенита" и "Спартака". Красные — команды белых хакеров — пытаются получить контроль над ресурсами двух виртуальных государств. Например, украсть данные клиентов банка, взломать светофорную систему или остановить работу нефтеперерабатывающего завода.
Инфраструктура виртуальных государств отражена на физических макетах. У каждой отрасли свой макет со зданиями и объектами, которые реагируют на атаки почти как в реальной жизни: багаж копится на ленте в аэропорту, поезда сходят с рельсов, электричество отключается, а нефть переливается через край резервуара.
Задача синих команд — специалистов по информационной безопасности — выявлять атаки, расследовать и реагировать на них.
В клане атакующих была команда DreamTeam, в состав которой входило шесть сотрудников отдела анализа защищенности "Совкомбанк Технологии". Команда добилась следующих успехов:
Вывод большой суммы денег: получили доступ к системе дистанционного банковского обслуживания (ДБО) и вывели крупную сумму денег с клиентских счетов.
Небольшая справка для понимания, что именно сделали участники из DreamTeam.
Одной из разновидностей дистанционного банковского обслуживания является система «Клиент – банк». Пользователь взаимодействует с банком через персональный компьютер, планшет или смартфон. Есть два типа такого соединения: «толстый клиент» и «тонкий клиент».
«Толстый клиент» – это когда на ПК пользователя устанавливают специальную программу и именно она берет на себя основную нагрузку (принимает и обрабатывает данные). Удаленный сервер используется только для хранения данных. «Тонкий клиент» – техническая противоположность «толстому». Все основные задачи по обработке информации переносятся на сервер. К нему достаточно подключиться через браузер. Этот тип соединения называют интернет-банкингом. Вот именно его и взломала команда DreamTeam.
Через фишинг и повышение привилегий захватили серверы дистанционного банковского обслуживания, нашли учетные данные к платформе, выгрузили ключи, подписали платежное поручение и вывели денежные средства в другой банк.
Обход двухфакторной аутентификации (2FA). Каждый, кто оплачивал покупки через QR-коды, сталкивался с этим способом защиты. Чтобы оплата прошла, нужно ввести код из СМС или пуша. Так вот. Умы из DreamTeam обошли эту защиты. Для этого взломали контейнер Kubernetes, использовали его для формирования платежного поручения и перевели деньги на счета в другом банке. Как говорится, "бесплатно и без смс".
"Пошумели" в банковской IT-инфраструктуре. Взломали новостной портал банка, что привело к утечке данных клиентов. Вывели банкомат из режима киоска и выполнили дефейс его экрана: вместо привычной информации и рекламы услуг банка клиенты видели ту графику, которую поставили наши люди.
А еще провели операции без комиссии, добились недоступности банковских сервисов, получили контроль над админ‑панелью. Другими словами, обошли сложные системы безопасности и получили доступ к сервисам банка и деньгам клиентов. В реальной жизни это привело бы к серьезным убыткам и репутационным потерям.
Мало было самостоятельно реализовать риски, нужно было внутри клана распространить информацию, чтобы и другие провели аналогичные атаки. Среди участников были международные команды, что осложняло коммуникацию. Но DreamTeam справилась.
Уф, это были действительно жаркие четыре дня. В напряженной борьбе 6 сотрудников "Совкомбанк Технологии" реализовали 14 рисков из 36 и принесли команде 49 700 очков. Это позволило DreamTeam войти в топ-3 по очкам и пробиться в плей-офф, где в ходе напряженной борьбы команда реализовала 16 атак, заработала 39 625 очков и заняла первое место. Заслуженная победа!
Помимо сотрудников “Cовкомбанк Технологий” в команде были представители других компаний, которые атаковали "вражеские" сектора и внесли значимый вклад в общий успех.
“Пострадали” технологические процессы таких отраслей, как электроэнергетика, нефтяная промышленность, черная металлургия, а также банковского сектора, объектов транспорта, логистики, производства, ЖКХ.
Standoff вызывает такую же бурю эмоций, как футбольные баталии. В каждой следующей игре появляется дополнительная интрига, сохранит ли чемпион свой титул. Буквально сами собой напрашиваются аналогии между командой DreamTeam и петербургским "Зенитом". Вы их не видите? Смотрите. В этом году "Зенит" в шестой раз подряд взял чемпионский титул. Команда DreamTeam стала шестикратным победителем в кибербитве Standoff. Защитит ли "Зенит" титул в следующем году? Победит ли DreamTeam в Standoff 14? Время покажет!
К слову, спонсором команды DreamTeam является "Совкомбанк Технологии". И это не случайно. Мы в компании заинтересованы, чтобы сотрудники активно прокачивали свои скиллы и предоставляем широкий спектр возможностей от прохождения образовательных программ до участия в турнирах.
Кибербезопасность важна для защиты пользователей, компаний и целых стран, чтобы обеспечивать бесперебойную работу всех отраслей экономики. Битва Standoff наглядно показывает зрителям, к каким катастрофическим последствиям приводит недостаток защиты бизнеса, в том числе системообразующих предприятий. Мы выражаем коллегам признательность за проведение мероприятия такого уровня.
Кибербитва Standoff 13 закончилась, а команда DreamTeam отправилась в Петербург. Нет-нет, не на матч "Зенита". На Петербургский Международный Экономический Форум. Что делали хакеры, пусть и белые, на ПМЭФ? Об этом расскажем в следующем посте. Он выйдет совсем скоро :)