27 октября 2017

Взломать нефтеперерабатывающий завод за 7 часов

В Шанхае 24 октября на конференции GeekPWN прошел финал соревнований по индустриальной кибербезопасности Kaspersky Industrial CTF 2017. Это третий CTF-турнир, который проводился «Лабораторией Касперского», и первый – международный. В отборочном этапе приняли участие 696 команд из разных стран. За звание победителя сражались три команды: CyKor (Южная Корея), TokyoWesterns (Япония), Flappy Pig (Китай).

Совместно с «Лабораторией Касперского» организаторами соревнований выступала компания Keen Cloud Tech, предоставившая для турнира масштабную площадку и медийное освещение, в том числе на центральном телевидении Китая (CCTV).

Это вам не игрушки

CTF-турнир (Capture The Flag) — уникальное состязание, которое затрагивает различные аспекты кибербезопасности и обеспечивает возможность проверить виртуальную среду предприятия на потенциальные уязвимости. Такая проверка особенно важна для энергетической, нефтегазовой и транспортной отраслей. Это критически важные инфраструктуры, успешная атака на любую из которых может обернуться катастрофическими последствиями для общества и экономики.

В ходе турнира команды взламывали модель нефтеперерабатывающего завода c цифровой подстанцией.

Кроме индустриальной части, в модель входила корпоративная сеть. Командам-участникам требовалось получить доступ в корпоративную сеть, повысить в ней права, найти уязвимости в нескольких сервисах, созданных командой Kaspersky Lab ICS CERT специально для этих соревнований на основе ранее проделанных исследований, и получить доступ к промышленной сети.

Для создания модели, имитирующей производственную площадку сливо-наливной эстакады нефтеперерабатывающего завода и электрической подстанции, использовалось промышленное программное обеспечение и контроллеры предприятий. Поэтому все, что происходило на соревнованиях, можно смело проецировать на реальные инфраструктуры и использовать для совершенствования подходов и технологий защиты индустриальных систем.

Как это было

Финалисты CTF сражались в течение 7 часов.

Главная задача CTF заключалась в перехвате управления технологическим процессом или же его остановке. Кроме того, команды могли провести атаку на электрическую подстанцию и вызвать короткое замыкание, в результате которого происходила имитация аварии — на стенде начинал идти дым.

Для визуализации атак использовался продукт «Лаборатории Касперского» – Kaspersky Industrial Cyber Security (KICS for Networks). Все действия хакеров в промышленной сети фиксировались нашим защитным решением и отображались на одном из экранов, за которым могли следить зрители.

Победителем соревнований стала команда из Южной Кореи, уверенно вышедшая вперед в самом начале и лидирующая на протяжении всей игры. Жесткая борьба шла за второе место. За 30 минут до окончания состязаний на второе место вырвалась команда из Японии, и ей удалось удержать эту позицию до конца CTF.

В качестве призов участники турнира были награждены различными ценными призами и подарками.

За семь часов ни одна из команд не смогла решить главной задачи CTF – прорваться в технологическую сеть предприятия-модели. По оценке специалистов из «Лаборатории Касперского», команде-победителю не хватило для решения этой задачи всего 10-15 минут.

У настоящих злоумышленников вряд ли будут жесткие ограничения по времени. И результаты соревнований еще раз продемонстрировали, что, используя слабые места в корпоративной сети и недостатки конфигурации сети, удаленный злоумышленник способен получить несанкционированный доступ в промышленный сегмент.

Личные впечатления

На организаторов CTF из «Лаборатории Касперского» произвел впечатление нешуточный накал страстей во время игры. Команды сражались до последнего, упорно добиваясь цели.

Порадовали четкой слаженной работой партнеры из Китая, которые помогли сделать состязание ярким и запоминающимся.

Китайские журналисты в прямом эфире вели репортаж с конференции. Видео выложено в Сеть, так что все желающие могут его посмотреть и составить собственное мнение о мероприятии.

Здесь можно увидеть в деталях атакуемую модель, послушать комментарии Владимира Дащенко, одного из организаторов CTF, и посмотреть некоторые эпизоды самого состязания.

Что дальше?

Следующие состязания пройдут в 2018 году. На нашем сайте мы обязательно опубликуем информацию о предстоящих соревнованиях и результатах Kaspersky Industrial CTF 2018.

Хотя не исключено, что в следующий раз это будут уже Kaspersky IoT CTF!