Soc

Какими цепочками атак запомнилась крупнейшая кибербитва 2022 года

Какими цепочками атак запомнилась крупнейшая кибербитва 2022 года Какими цепочками атак запомнилась крупнейшая кибербитва 2022 года Какими цепочками атак запомнилась крупнейшая кибербитва 2022 года
16.06.2022

Угрозы open source, масштабные атаки на промышленные предприятия, фишинг, фишинг и ещё раз фишинг – таковы главные мотивы масштабных киберучений, прошедших в рамках Positive Hack Days 11. На вебинаре по итогам мероприятия Антон Калинин, руководитель группы аналитиков Центра предотвращения киберугроз CyberART (Innostage), изучил цепочки атак, которые реализовали участники Standoff-2022.

Группа компаний Innostage - поставщик услуг в области информационной безопасности и системной интеграции. С 2021 года – соорганизатор Positive Hack Days совместно с компанией Positive Technologies. Эксперты Innostage обеспечивают работу инфраструктуры киберполигона, специалисты центра предотвращения киберугроз CyberART (входит в ГосСОПКА) ведут мониторинг противостояния, контролируют действия команд, визуализируют для гостей форума цепочки реализованных атак.

Форум Positive Hack Days 11 прошёл в Москве 18-19 мая и стал самым посещаемым за всю свою историю. По оценкам организаторов, на мероприятии побывали 10 тысяч человек, а к онлайн-трансляциям подключились свыше 130 тысяч зрителей.

Один из главных элементов программы – киберучения Standoff, которые сами по себе тоже являются знаковым событием для российской ИБ-отрасли. Это крупнейшая подобная площадка в нашей стране, где можно воочию познакомиться с приёмами взломщиков и противостоящих им команд профессионалов.

Где соревнуются участники

2022-06-16_175919.png

Поле битвы – киберполигон, состоящий из набора отраслей. Каждая отрасль в свою очередь объединяет несколько объектов, которые представляют собой комплексные инженерно-технические конструкции. В их составе – обширные IT-сегменты со сложными внутренними взаимосвязями, технологическими, промышленными, обслуживающими системами, DNS-серверами, почтовыми, веб-серверами.

2022-06-16_175919 — копия.png

Внутри объекта постоянно моделируется легитимная активность пользователей – «умные» скрипты заходят на сайты, обмениваются электронными письмами, работают с ПО. Среди этой активности «синие» команды должны распознать хакеров. При этом задачи помешать взломщикам нет – только мониторинг и расследование цепочек событий.

Практическая кибербезопасность

Организаторы сделали всё, чтобы киберучения наглядно показали влияние кибератак на «реальную» жизнь. Постоянно расширяется список отраслей, которые представлены на полигоне. Начинали с нефтяной отрасли, в 2021 году появилась энергетика, в 2022 – чёрная металлургия. В каждом случае моделируется полный технологический цикл, будь то генерация электричества с поставкой потребителям, добыча и переработка нефти, работа металлургического комбината.

2022-06-16_175919 — копия (2).png

Отсюда и задания для атакующих команд – не просто найти уязвимость, а вызвать событие, которое в реальности привело бы к очень серьёзным последствиям. Например, остановка химического процесса, перебой поставки руды на горном комбинате, остановка энергоснабжения в городе. В результате участники видят, как сбой на одном предприятии распространяется на смежные отрасли и по цепочке вызывает проблемы в масштабах страны.

Если профессионалы понимают, к чему может привести неправильно настроенный межсетевой экран, для людей из бизнеса или чиновников наглядная визуализация даёт панорамное представление о событиях. По мере атаки на экранах подсвечивается цепочка шагов, по которой двигается «красная» команда – зрители глубже погружаются в ситуацию, могут понять, какие инструменты использовали взломщики и т.д. Одна цепочка при этом может включать 15-20 шагов.

Итак, какие темы выделил Антон Калинин (Innostage) на своём вебинаре?

Атака №1: Мошенничество с транспортными картами

Почему это интересно:

  • Этот сценарий стал самым популярным у участников Standoff-2022.
  • Цепочка использует уязвимости open source – популярность открытого кода на рынке сейчас снова растёт.
  • В основе сценария – реальная уязвимость карт «Тройка», которая позволила в 2018 году взломать систему продажи билетов на электрички в Москве и Подмосковье.

Цель атаки – изменить стоимость билетов, чтобы они раздавались бесплатно или были недоступны из-за чрезмерной цены.

Взломщики воспользовались ошибками конфигурации в модуле регистрации пользователей:

  1. Одна уязвимость позволяла создать пользователя с правами администратора, просто поменяв значения поля «Тип» с 0 на 1. Далее через управляющую панель можно было поменять цены билетов, создавать новые рейсы, вносить беспорядок в расписание.
  2. На GitHub нашли исходный код сервиса, проникли в БД, взломали хеш пароля обычного пользователя. Вычислить пароль по хешу оказалось очень просто – буквально первая ссылка Google даёт результат. Далее выяснилось, что обычный пользователь может создать администратора, чем и воспользовались взломщики.

2022-06-16_175919 — копия (3).png

Если синяя команда ничего не знает про работу сервиса, она могла обнаружить вторжение по сетевому трафику – найти вредоносный POST-запрос на создание нового администратора.
Чтобы упростить задачу, нужно погрузиться в логику системы, разобраться, кто и как может поменять стоимость билетов. После этого достаточно написать правило для WAF, чтобы автоматически определить подозрительную активность.

Вывод: никогда нельзя недооценивать вредоносный потенциал open source.

Атака №2: шифровальщик и нефтедобывающая компания

Почему это интересно:

  • Сценарий также основан на реальных событиях – в мае 2021 случилась атака на трубопроводную систему Colonial Pipeline, которую в СМИ назвали «крупнейшей успешной кибератакой на нефтяную инфраструктуру в истории США».
  • Атаки шифровальщиков угрожают любому бизнесу, причём получение выкупа может быть побочной целью на фоне остановки бизнеса как такового.
  • Лишний повод вспомнить про нестареющие угрозы: фишинг открывает взломщикам доступ в инфраструктуру, уязвимости четырёхлетней давности заставляют компанию остановить деятельность.

Цель атаки – атаковать основной сервер, прекратить работу компании, удалить данные без возможности восстановления. Взломанная компания вынуждена перейти на бумажный документооборот, сотрудники отправляются в вынужденный отпуск. Вышеупомянутая Colonial Pipeline даже заплатила выкуп, но это не помогло оперативно возобновить деятельность.

Что использовали взломщики:

  1. Очень много разнообразного фишинга с вредоносными почтовыми вложениями – на «сайте» атакуемой компании можно было найти адрес HR-департамента, который по ходу мероприятия забросали ложными резюме.
  2. Распространение внутри сети происходит после дампа паролей, далее взломщики получают возможность доставить в инфраструктуру полезную нагрузку.
  3. На последнем этапе – эксплуатация уязвимости в конфиг-файле open source ITSM/CMDB-модуля iTop (CVE-2018-10642), получение администраторских прав, загрузка шелла, чтобы запустить вредоносный код на уровне ОС.

2022-06-16_175919 — копия (4).png

В этом сценарии обнаружить атаку помогает песочница, которая анализирует все входящие файлы и показывает, что под маской Word-документа скрывается загрузчик. Администраторы могут увидеть результаты анализа в PT Network Attack Discovery, куда подтягиваются данные из песочницы. А MaxPatrol SIEM показывает, кто из пользователей запустил зловред в инфраструктуру. Далее через WAF видно, что злоумышленники добрались до уязвимого сервиса iTop 2.4.0.

Вывод: антифишинговый тренинг сотрудников может быть самой эффективной инвестицией в вашу безопасность.

Атака №3: остановка нефтедобычи

Почему это интересно:

  • Сценарий представляет собой логичное продолжение атаки шифровальщика – преступники расширяют своё присутствие и наносят максимальный ущерб.
  • Наглядная демонстрация межотраслевого риска – остановка нефтепровода бьёт по потребителям нефтепродуктов.

Последний по счёту сценарий заставляет задуматься о том, что происходит в компании на фоне атаки шифровальщика. Кибергруппировки давно используют такие методы или DDoS-атаки, чтобы отвлечь внимание ИБ-службы и провести второй удар. Например, как это было на Standoff-2022 – остановить нефтедобывающее оборудование, сделать скважины непригодными для нефтедобычи, спровоцировать проблемы на рынке топлива.

В случае Colonial Pipelines кибератака привела к сбою поставок авиатоплива, из-за чего самолёты в нескольких аэропортах не смогли отправиться в рейс.

Что использовали взломщики:

  1. Снова очень много фишинга
  2. Уязвимость ПО FactoryTalk, которое обеспечивает управление промышленным контроллером (CWE-502)

Структура атаки в целом такая же, как в предыдущем сценарии, но «красным» приходится потратить больше времени, чтобы найти операторов промышленного ПО. В итоге взломщики добрались до уязвимого модуля, который не проверяет входящие битовые последовательности перед выполнением (ошибка десериализации). Так «красные» смогли загрузить шелл и запустить свой код, чтобы подключиться по RDP под учётной записью оператора.

Эта цепочка заметно длиннее остальных – до промышленного оборудования дотянуться непросто. Однако группировки, которые стремятся вызвать такие проблемы, достаточно мотивированы, чтобы добиться своей цели.

2022-06-16_175919 — копия (4) — копия.png

RDP-соединение открыло доступ к интерфейсу управления скважиной, где можно изменить режим нефтедобычи. Взломщики изменили пароль оператора, дали своему аккаунту права администратора и отключили виртуальное оборудование.

Вывод: угрозы нужно рассматривать с высоты птичьего полёта и просчитывать риски на всём протяжении атаки.

Итоги

В этом году Standoff объединил более 650 специалистов, пять «синих» команд противостояли 17-ти «красным» (50 участников против 157). По итогу атакующие группировки реализовали 53 недопустимых события и нашли более 20% типов событий, которые предусмотрели организаторы.

Среднее время расследования составило чуть больше 11 часов – это время понадобилось «синим», чтобы найти следы вторжения и восстановить события.

2022-06-16_175919 — копия (5) — копия.png

В будущем организаторы обещают добавить элемент противостояния, чтобы защитники могли не только мониторить, но и блокировать нежелательные действия. Такая практика уже была в истории Standoff, однако некоторое время назад от неё отказались – в условиях полигона слишком большое количество атак можно было отразить простым файрволом. Какие вызовы ждут участников грядущих кибербитв, мы узнаем уже через несколько месяцев.


Комментарии 0