С 21 февраля по 3 марта в Казани проходил первый международный фиджитал-турнир «Игры будущего». Зрелищные соревнования на стыке традиционного и цифрового спорта, инновационные дисциплины, более 2000 участников со всего мира — турнир стал по-настоящему уникальным событием. Мероприятие ожидаемо привлекло зрителей и получило широкое освещение в СМИ. Правда, было и то, что на протяжении всего турнира неизменно оставалось за кадром: кибератаки и инциденты информационной безопасности на «Играх будущего». 

Масштаб таких мероприятий всегда диктует исключительные требования к обеспечению кибербезопасности. А учитывая специфику турнира, киберспортивную составляющую и сложную IT-инфраструктуру, к защите игр необходим был особый подход. Поэтому для нас, экспертов Positive Technologies, выступившей ключевым партнером по кибербезопасности на «Играх будущего», это стало своего рода вызовом. Забегая вперед, докладываем, что справились мы с ним успешно: на мероприятии не было допущено ни одного инцидента ИБ, повлекшего последствия для проведения турнира! Но обо всем по порядку. Как мы, специалисты PT Expert Security Center (PT ESC), защищали от кибератак «Игры будущего»? Какие инциденты обнаруживали? Какие продукты и технологии нам помогали? Читайте обо всем этом далее и забирайте ?, если ответите на вопрос в конце статьи!

Технологии, процессы, эксперты

Нетрудно догадаться, что для Positive Technologies «Игры будущего» стартовали значительно раньше официальной церемонии открытия ? До начала мероприятия нам предстояло выстроить систему защиты, обеспечив невозможность кибервмешательства в ход турнира. Благо, мы не в первый раз отвечали за безопасность на мероприятии подобного уровня. С опорой на накопленный опыт мы приступили к подготовке IT-инфраструктуры и построению ЦПК (центра противодействия киберугрозам), который всегда основывается на почти классической триаде — технологиях, процессах и экспертах.

Технологии

Технологический стек нашего ЦПК составили как проверенные временем продукты Positive Technologies, так и новые разработки, которым только предстояло показать себя «в бою». Итак, в инфраструктуре «Игр будущего» были развернуты:

• MaxPatrol SIEM для мониторинга событий безопасности и обнаружения инцидентов.

• MaxPatrol VM для управления уязвимостями.

• PT Network Attack Discovery (PT NAD) для анализа сетевого трафика и выявления в нем вредоносной активности.

• PT Application Firewall для защиты внешних веб-ресурсов.

• PT Sandbox для определения и анализа вредоносных файлов.

• MaxPatrol EDR для контроля и реагирования на конечных устройствах.

• MaxPatrol O2 для перепроверки событий безопасности и автоматического выявления кибератак.

• Anthill IRP (внутренняя разработка SOC PT ESC) для работы с инцидентами в режиме единого окна.

Стоит упомянуть и о некоторых подходах к внедрению средств защиты — тут тоже были свои нюансы. Например, вся необходимая узловая телеметрия собиралась и пересылалась в MaxPatrol SIEM исключительно агентами EDR. На практике этот способ оказался ощутимо быстрее и эффективнее, нежели традиционные методы получения журналов (syslog, WEC и прочие). Кроме того, нам была доступна возможность реагирования на инциденты с помощью MaxPatrol EDR, что позволяло устранять фиксируемые вредоносные активности буквально на лету. Скажем, при обнаружении ВПО на игровом компьютере спортсмена, находящегося в буткемпе в одном из отелей Казани, специалисты ЦПК могли оперативно изолировать узел буквально парой кликов. А не шерстить весь буткемп и врываться к людям в номера в поисках зараженного устройства ?

Другим приятным сюрпризом для аналитиков SOC PT ESC стало наличие периметрового трафика, очищенного от TLS: благодаря тому, что трафик снимался после прохождения NGFW-решения, в PT NAD передавалась уже расшифрованная копия. Это предоставляло нам полную видимость происходящего на внешнем периметре турнира и, конечно, стало серьезным подспорьем для обнаружения атак на веб-ресурсы.

Процессы

Процессы любого SOC всегда в конечном счете вращаются вокруг управления инцидентами, поэтому львиная доля процессной подготовки пришлась на это. Обработка инцидентов на «Играх будущего» предполагала решение нескольких нетривиальных для нас задач, среди которых:

• реализация единой точки коммуникации по подтвержденным инцидентам между участниками процесса обеспечения кибербезопасности турнира;

• автоматизация взаимодействия команды PT ESC cо специалистами других команд ИТ и ИБ в рамках реагирования на инциденты;

• интеграция со сторонней системой учета инцидентов, используемой рабочей группой по информационной безопасности технологического операционного центра (ТОЦ) «Игр будущего».

Поэтому мы скорректировали наш стандартный ворклфлоу и вооружившись относительно прямыми руками внедрили в собственное IRP-решение — Anthill IRP — новые функции, с помощью которых система:

• Автоматически отправляла письма с данными по инциденту на электронную почту, откуда их забирал и парсил коннектор системы учета инцидентов ТОЦ.

• По запросу оператора SOC пересылала инциденты с комментариями в Mattermost, где осуществлялась оперативная коммуникация между SOC и специалистами, которые выполняли реагирование на инциденты (всего было девять отдельных команд реагирования на инциденты — по числу ключевых спортивных объектов, а также объектов ИКТ-инфраструктур и ИТ-сервисов турнира).

Кибербезопасность «Игр будущего» обеспечивалась в тесном сотрудничестве с ведущими игроками отечественного рынка ИБ. Непосредственное участие в реализации мероприятий по кибербезопасности приняли Минцифры России и Национальный координационный центр по компьютерным инцидентам (НКЦКИ), которые организовали эффективное взаимодействие всех вовлеченных сторон.

• При закрытии инцидента забирала переписку по нему из Mattermost и сохраняла в соответствующую карточку.

Разумеется, до начала мероприятия весь процесс мониторинга и работы с инцидентами был отшлифован серией командно-штабных тренировок, в которых принимали участие все вовлеченные в защиту турнира специалисты.

Стоит ли говорить, что этим работы по формированию процессов ИБ не ограничились? Но как бы ни хотелось, всю внутреннюю кухню подготовки к турниру в одну статью не уместить. Это был действительно долгий и непростой путь, пройти который под силу только правильно собранной команде экспертов.

Эксперты

Порой у нас возникало ощущение, что к защите «Игр будущего» привлечена едва ли не добрая половина сотрудников Positive Technologies ? Множество специалистов принимало активное участие на разных стадиях подготовки и проведения турнира. Коллеги из консалтинга помогали с определением недопустимых событий и реализацией процессов обеспечения информационной безопасности турнира; команда пентестеров провела системную работу по поиску уязвимостей и верификации недопустимых событий; архитекторы и инженеры подготовили инфраструктуру и внедрили защитные решения; специалисты по эксплуатации в режиме 24/7 обеспечивали поддержку средств защиты. Пользуясь случаем, хотели бы поблагодарить всех коллег из смежных подразделений, работавших над проектом вместе с нашим PT ESC, — без вас мы бы не справились!

Костяк команды мониторинга и реагирования на «Играх будущего» составляли дежурные аналитики SOC PT ESC. Коллеги удаленно в режиме 24/7 обрабатывали инциденты в IRP-системе и верифицировали срабатывания средств защиты, при необходимости проводя реагирование. 

Помимо этого, на время мероприятия в Казань были откомандированы опытные эксперты из разных команд PT ESC: отдела мониторинга информационной безопасности, отдела обнаружения атак, направления форензики и не только. Такой состав (можно сказать, dream team) расположился в ТОЦ, где были собраны ключевые представители регуляторов, организаторов турнира и компаний, обеспечивающих эксплуатацию и информационную безопасность задействованных ИКТ-инфраструктур, информационных систем и каналов связи.

Теперь вы знаете, кто, как и с помощью чего защищал от киберугроз «Игры будущего». Пришло время перейти к самому интересному — киберугрозам!

ЦПК в действии: инциденты ИБ на «Играх будущего»

Всего за время мероприятия мы выявили и купировали около 200 подтвержденных инцидентов ИБ, а общее число алертов, обработанных командой мониторинга в операционный и предоперационный периоды (два месяца), превысило 4000.

На деле большинство обнаруженных и локализованных угроз ИБ оказались весьма распространенными и аналогичными тем, которые мы регулярно находим на проектах по мониторингу и расследованию инцидентов. Они же, по нашему опыту, часто становятся причиной успешного развития атак внутри инфраструктуры. С чем же были связаны зафиксированные на турнире инциденты?

WannaCry-like

Использование уязвимых версий ПО и ненадлежащие превентивные меры защиты — серьезные недостатки безопасности, которые мы регулярно обнаруживаем в корпоративных инфраструктурах. Например, в рамках проектов по мониторингу SOC PT ESC неоднократно сталкивался с отсутствием обновлений безопасности MS17-010, открытыми 445 портами на периметре и включенным SMBv1 без объективной необходимости (да, даже в 2024 году). Закономерный итог — заражения узлов организаций шифровальщиком WannaCry или другим ВПО, использующим нашумевший эксплойт EternalBlue. 

Так, в период подготовки к турниру система поведенческого анализа сетевого трафика PT NAD зафиксировала во внутренней сети множественные попытки эксплуатации уязвимости CVE-2017-0144 (EternalBlue) и коммуникаций с бэкдорами DoublePulsar. Активность была замечена на узлах legacy-инфраструктуры организаторов, не имевшей прямого отношения к объектам турнира.

С этих же устройств было выявлено активное сканирование локальной сети на предмет доступных 445/SMB портов:

Все свидетельствовало о том, что на узлах — источниках активности — функционировало ВПО WannaCry или Petya: как известно, эти шифровальщики распространяются по сети путем эксплуатации уязвимости CVE-2017-0144 в SMBv1 и установки бэкдора DoublePulsar на скомпрометированные устройства. По мере обнаружения все зараженные узлы оперативно изолировались, операционные системы перезаливались, а инфраструктура турнира была дополнительно проверена на наличие обновлений MS17-010. Суммарно за время мониторинга турнира наш ЦПК выявил 39 устройств, инфицированных этим видом ВПО. 

Хотим подчеркнуть, что успешная эксплуатация уязвимости — не единственный вектор заражения узлов вредоносным ПО, использующим для распространения EternalBlue. Кроме того, вредонос может попасть в инфраструктуру из-за опрометчивых действий пользователей, например из-за скачивания серого ПО или ПО из небезопасных источников. Поэтому даже установленный патч MS17-010 не исключает возможности заражения, хоть и предотвращает дальнейшее распространение.

Атаки на веб-приложения

Уязвимости и недостатки конфигурации веб-приложений регулярно становятся отправной точкой для проникновения и развития атак внутри сети. Так, в результате работ по верификации недопустимых событий, проведенных в рамках подготовки к мероприятию, наши специалисты обнаружили сразу несколько уязвимостей, которые позволяли успешно преодолеть внешний периметр и попасть во внутреннюю инфраструктуру «Игр будущего». Конечно, до начала турнира все найденные уязвимости были устранены, а внешние веб-ресурсы взяты под защиту PT Application Firewall. Значимые международные мероприятия неизбежно привлекают внимание киберзлоумышленников всех мастей, поэтому в дни турнира мы ожидали особого всплеска атакующей активности на периметре.

И наши ожидания оправдались: ежедневно мы фиксировали не менее тысячи веб-атак на внешние ресурсы «Игр будущего». Во время церемоний открытия и закрытия турнира, а также в дни финалов дисциплин и праздники этот показатель возрастал в несколько раз; число зарегистрированных PT Application Firewall атак превышало 10 000.

Наблюдаемая активность была во всех отношениях разнообразной — начиная от характера и уровня сложности атак и заканчивая географической принадлежностью их источников. Наши продукты фиксировали агрессивные автоматизированные сканирования на уязвимости.

И точечные попытки эксплуатации в ручном режиме.

Еще до старта мероприятия мы подготовили специальный пакет экспертизы для MaxPatrol SIEM с правилами, основанными на событиях PT Application Firewall. Например, одно из правил срабатывало на проведение множественных веб-атак на внешние ресурсы турнира с одного IP-адреса, обращая внимание аналитиков ЦПК на особо ретивых злоумышленников.

При этом отметим, что внешние сканирования любых веб-сервисов, доступных из интернета, обычно носят массовый характер, поэтому с ходу отличить целенаправленное воздействие от, скажем, рядовых ботов бывает непросто. Зачастую это требует времени на выявление общих паттернов в отдельных атаках и определение связей между ними. Например, отражение одной любопытной целевой атаки на веб-ресурсы турнира заняло у нас несколько дней. Расследование началось с того, что мы обнаружили массированное сканирование ряда сервисов на периметре инфраструктуры турнира на различные уязвимости.

IP-адрес источника был чистым, не имел репортов на сервисах проверки репутации и принадлежал отечественному хостинг-провайдеру.

Примечательно и то, что значения User-Agent ротировались практически на каждый новый нелегитимный запрос (всего мы насчитали более 1000 уникальных значений заголовка).

В рамках реагирования вредоносный адрес был заблокирован средствами межсетевого экрана, и про эту активность мы на время забыли. Но вспомнить про нее пришлось уже через день, когда мы обнаружили серию аккуратных, явно проведенных вручную попыток эксплуатации свежих уязвимостей на одном из веб-ресурсов турнира. Схожесть с вышеописанным сканированием состояла в том, что атаки снова проводились с одного IP-адреса, но с разными User-Agent в запросах. Проверив и этот IP-адрес с помощью специализированных сервисов, мы выяснили, что он также имеет чистую репутацию и относится к пулу того же, уже знакомого нам хостинга. Теперь одной лишь блокировкой адреса дело ограничиться не могло. При содействии регуляторов информация о злоумышленниках была передана хостинг-провайдеру, а также в соответствующие органы. Вскоре эту активность мы фиксировать перестали.

Майнеры криптовалют

Деятельность криптомайнеров нельзя назвать в полном смысле вредоносной: она не несет прямых угроз безопасности, не причиняет непосредственного ущерба информационным ресурсам. Представители этого класса ВПО часто попадают в инфраструктуру компаний вполне легально — с помощью сотрудников, решивших подзаработать на активно развивающемся рынке криптовалют. Чем же опасно ПО для майнинга? Увеличение нагрузки на корпоративные вычислительные мощности, замедление работы систем, сопутствующие финансовые расходы — все эти последствия влечет за собой активность майнеров в сети организации.

Поэтому все попытки майнинга на мощностях «Игр будущего» мы тщательно отслеживали и пресекали. Тем более что далеко не всегда майнер на узле оказывается делом рук ушлого пользователя, зачастую он может быть установлен скрыто и сопровождать более серьезное ВПО. К счастью, наши возможности по выявлению этого вида ПО были весьма широки: набор экспертизы PT NAD включает более 120 правил для обнаружения различных семейств майнеров, а также постоянно пополняющийся репутационный список с адресами майнинговых пулов.

Все обнаруженные майнеры криптовалюты были удалены, а узлы, на которых фиксировалась их активность, дополнительно проверены на наличие иного ВПО. Суммарно за время мониторинга наш ЦПК выявил ПО для майнинга на 18 узлах. 

RAT-утилиты

Чтобы успешно развить атаку внутри инфраструктуры, злоумышленникам, как правило, нужно время. А чтобы выиграть время, им нужно как можно дольше оставаться «ниже радаров» и избегать обнаружения. Один из способов, который атакующие давно взяли на вооружение, — это использование легитимных инструментов для удаленного управления и администрирования. Если в целевой компании активно применяются RAT-утилиты, злоумышленники могут оставаться незамеченными очень долго: внедрения сторонних программ в систему не происходит, а их действия будут практически неотличимы от действий легитимного пользователя.

На «Играх будущего» использование какого-либо ПО для удаленного управления было запрещено и являлось прямым нарушением политик ИБ. Тем не менее на протяжении всего мероприятия мы с завидной регулярностью находили нарушителей. PT NAD и MaxPatrol SIEM фиксировали в инфраструктуре турнира активность сразу пяти RAT-утилит: TeamViewer, AnyDesk, RMS, Ammyy Admin и Radmin.

По всем выявленным инцидентам были приняты меры реагирования (кроме случаев согласованного использования в административных целях): программы для удаленного управления были незамедлительно удалены с узлов, а пользователи наставлены на путь истинный :). Суммарно за время мониторинга наш ЦПК зафиксировал 17 случаев использования RAT-утилит.

Нелегитимное сетевое оборудование

На «Играх будущего» нам приходилось сталкиваться и с довольно нестандартными инцидентами, например с подключением несанкционированных роутеров на соревновательных объектах.

В один из дней мероприятия наше внимание привлекли необычно большие объемы трафика, фиксируемые PT NAD с нескольких внутренних IP-адресов. Проанализировав сетевую активность каждого из узлов, мы обнаружили и другие аномалии: например, многообразие User-Agent в исходящих HTTP-сессиях, количество используемых этими узлами ОС, разнородность поступающих с них DNS-запросов и многое другое.

На этом этапе была выдвинута гипотеза, что подобное поведение, скорее всего, характерно для роутеров. Но загвоздка заключалась в том, что IP- и MAC-адреса этих узлов в перечне инвентаризованного сетевого оборудования турнира не значились. Неизвестно о них было и специалистам заказчика.

Совместно с ответственными за реагирование мы провели полноценное расследование. В результате него были обнаружены функционирующие на спортивных объектах коммутаторы и Wi-Fi-роутеры, которые несанкционированно установили пользователи либо IT-специалисты подрядчиков для расширения локальной сети или для удобства эксплуатации беспроводной связи. Очевидно, журналы с такого сетевого оборудования и, что важнее, трафик с оказавшихся за PT NAD сегментов наш ЦПК отслеживать не мог. А нам, разумеется, было необходимо иметь полную видимость происходящего на защищаемых объектах. Более того, неучтенные сетевые устройства легко могли стать точкой входа для злоумышленников.

Все выявленное нелегитимное сетевое оборудование оперативно блокировалось, случаи установки пресекались. Суммарно за время мониторинга наш ЦПК обнаружил четыре несанкционированных сетевых устройства.

И еще

Разумеется, это неисчерпывающий список нелегитимных активностей, обнаруженных на «Играх будущего». За время турнира мы столкнулись и с фишинговым сайтом, имитировавшим портал для покупки билетов на мероприятие, и с различными атаками (например, проведением сетевой разведки и брутфорсом доменных учетных записей) из гостевых Wi-Fi-сетей на спортивных объектах, и с запрещенными BitTorrent и VPN-клиентами на узлах инфраструктуры, и многим другим.

Рассказывать о работе нашего ЦПК мы могли бы долго, но важнее, на наш взгляд, рассказать о ее результатах. А итоговый результат, к которому мы стремились, который смогли достичь и которым гордимся, — полное отсутствие инцидентов информационной безопасности, которые могли нарушить проведение мероприятия!

Итоги

Такими оказались для экспертов PT ESC первые в истории «Игры будущего». Защита значимых мероприятий — всегда особый вызов для нас. Но вместе с тем это и бесспорный плацдарм для развития. Благодаря турниру мы укрепили свои компетенции и усовершенствовали подходы к обеспечению безопасности наших партнеров и клиентов.

Отдельная благодарность организаторам, доверившим нам кибербезопасность турнира. Для нас было честью защищать «Игры будущего». И мы готовы дальше играть в защите и побеждать киберугрозы там, где это необходимо!

Ну, а всем, кому недостаточно слов, мы предлагаем посмотреть документальный фильм про «Игры будущего» от Positive Hack Media.

Под занавес награда для тех, кто осилил весь текст и не только (был у нас один доклад по теме, помните, мы упомянули его в начале статьи?).

Внимание, вопрос: на каких именно устройствах были обнаружены майнеры, и как эти устройства оказались на «Играх будущего»? Первому, кто отгадает – приз ?

Пишите свои догадки в комментариях под статьей ⬇️

Екатерина Никулина

Старший специалист отдела мониторинга информационной безопасности PT Expert Security Center

Алексей Яковлев

Руководитель экспертной группы PT Expert Security Center