The Standoff: энергетика, металлургия и финансы под прицелом хакеров

The Standoff: энергетика, металлургия и финансы под прицелом хакеров

The Standoff: энергетика, металлургия и финансы под прицелом хакеров

Кибербитва The Standoff пройдет уже 18–19 мая на PHDays; 160 исследователей безопасности соберутся, чтобы найти слабые места в защищенности виртуальных компаний из разных отраслей экономики, и попытаются парализовать жизнь виртуального Государства F.

А пять команд защитников в режиме реального времени выяснят, как недопустимое стало возможным. Ситуации, как и раньше, взяты из жизни, но масштаб возможных катастроф растет: вирус-шифровальщик останавливает нефтепровод и создает тотальный дефицит топлива в стране, атаки на систему управления электроподстанциями приводят к перебоям в подаче водопроводной воды в жилые дома и в поставках лекарств. Последствия атак зрители и участники смогут наблюдать на макете Государства F офлайн или онлайн на сайте события. Цель The Standoff остается неизменной — объединить усилия белых хакеров, бизнеса и государства, чтобы устоять при кибершторме.

С конца февраля российские организации подвергаются беспрецедентной волне кибератак. Хакеры атакуют буквально все: ТЭК, госучреждения и банки, СМИ и IT-сферу. Запрос на кибербезопасность резко вырос: объем обращений за сервисами защиты Positive Technologies за три недели марта оказался на уровне трети всех запросов за прошлый год. Ущерб от кибератак с каждым годом стремительно увеличивается, а их последствия все чаще выходят за пределы компании-жертвы и затрагивают целые отрасли экономики. Поэтому сейчас как никогда важно следовать принципам результативной кибербезопасности. В этой концепции особое значение приобретают качественные практические киберучения как важнейшее мерило эффективности выстроенной системы защиты.

В ходе The Standoff в мае 2021 года красным командам удалось реализовать 33 недопустимых события — больше половины запланированных, а проверить безопасность своих инфраструктур на полигон приходили «Азбука Вкуса», Osnova, Hewlett Packard Enterprise и многие другие. Киберударам подверглись буквально все компании цифровой страны, воссозданной на полигоне. Например, атакующие смогли сократить нефтедобычу на 90%, уронить контейнер в порту и полностью отключить электричество.

Сегодня на киберполигоне представлены три основные отрасли: энергетика, нефтяная промышленность и черная металлургия. Силу воды, ветра и пара тут используют для получения электроэнергии, компания Tube добывает газ, производит нефтепродукты, а комбинат «МеталлиКО» — сталь, чугун и их прокат. В Государстве F функционирует развитая банковская система, поэтому межбанковское взаимодействие в текущих условиях также под ударом. За водоснабжение, уличное освещение, систему видеонаблюдения и парк аттракционов отвечает управляющая компания City, а морские, железнодорожные и авиаперевозки осуществляет транспортная компания Heavy Logistics. Всего атакующие попробуют реализовать 99 недопустимых событий.

«На этот раз мы хотим показать взаимозависимость отраслей экономики, когда даже незначительное влияние на одну из систем может иметь большие и непредсказуемые последствия в совершенно другом месте. Этот эффект бабочки каждый сможет наблюдать в реальном времени, что и делает киберучения The Standoff актуальными как никогда. Знать, нарушение работы каких систем и объектов может привести к недопустимым последствиям, — одна из главных целей киберучений», — говорит Ярослав Бабин, руководитель The Standoff.

Инфраструктуру в новой битве будут атаковать, приобретая и оттачивая в процессе свои навыки, 17 команд белых хакеров. Пять победителей и участников прошлых учений стали участниками автоматически, а еще 12 прошли тщательный отбор. Среди атакующих есть команды из России, Франции, Беларуси, Казахстана. Пять команд защитников будут расследовать инциденты, отслеживать перемещения атакующих внутри инфраструктуры, изучать техники и тактики злоумышленников и нарабатывать опыт предотвращения недопустимых событий. The Standoff для них — работа с самыми актуальными средствами защиты информации и развернутая обратная связь от экспертов в области кибербезопасности по результатам учений. 

«Характер и интенсивность киберугроз изменились за последнее время кардинальным образом: их количество выросло в четыре раза. И именно сейчас важно уделять информационной безопасности больше внимания. В первую очередь тренировать людей, занятых защитой. Цель киберполигона как раз заключается в совершенствовании практических навыков в условиях, наиболее приближенных к реальным. Модель Государства F с каждым разом становится все ближе и ближе к настоящей инфраструктуре. Организаторами в этом году заложены недопустимые события, запускающие эффект домино: то есть условные злоумышленники могут вывести из строя компании одной отрасли экономики, совершая последовательные действия в другой. В этом мы видим еще одну ценность The Standoff: здесь можно дойти до конца, а не до какой-то границы», — рассказывает Антон Кузьмин, руководитель Центра предотвращения киберугроз CyberART.

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru