Light mode

«Игры будущего»: обеспечиваем безопасность международного фиджитал-турнира

16 минут
  • #Игры будущего
  • #Продиводействие кибератакам

В этом году в Казани прошел первый международный фиджитал-турнир «». Мы были ключевым ИБ-партнером мероприятия, поэтому пока все увлеченно смотрели соревнования, мы не менее увлеченно ловили алерты и предотвращали ИБ-инциденты. Сейчас расскажем обо всем, что осталось за кадром.

В основу ИТ-инфраструктуры «Игр будущего» легли мощности крупных телеком-операторов («Таттелеком», «Ростелеком», «Мегафон» и «Билайн») и ЦОДа Центра информационных технологий Республики Татарстан. На базе этих ресурсов была развернута платформа турнира — отечественная система «Управление спортивным массовым мероприятием». 

ИТ-инфраструктура мероприятия была разделена на пять сегментов: серверный; канал передачи данных; игровой; вещательный; локальные сети объектов. При этом архитектура сети была построена по схеме двойной звезды: у каждого объекта было два географически разнесенных канала связи от разных операторов, чтобы не допустить сбоев. В сумме в проведении «Игр будущего» было задействовано более 5000 единиц ИТ-оборудования, в том числе игрового.

Подробности ищите в видео с PHDays Fest 2

Поэтапно подход к защите «Игр будущего» выглядел следующим образом:

  • Сначала мы сформировали и верифицировали перечень недопустимых событий:
    • прерывание прямой видеотрансляции на стриминговых платформах;
    • частичная или полная остановка проведения игровых дисциплин;
    • подмена контента;
    • утечка персональных данных участников мероприятия.
  • Затем проанализировали архитектуру, провели харденинг инфраструктуры и сформировали требования по обеспечению кибербезопасности турнира.
  • Выстроили центр противодействия киберугрозам (ЦПК), в основе которого всегда лежит почти классическая триада: технологии, процессы и эксперты.
  • Провели ряд практических тренировок для всех специалистов, задействованных в защите турнира, и проверили киберустойчивость «Игр будущего» с помощью киберучений.
  • Вышли на защиту мероприятия и обеспечивали полноценный мониторинг в режиме 24/7.

Забегая вперед, отметим, что команда ЦПК не допустила ни одного ИБ-инцидента со значимым ущербом. Но обо всем по порядку: из чего же состоял наш центр противодействия киберугрозам?

Технологии

Джентльменский набор СЗИ, развернутый в инфраструктуре «Игр будущего», включал в себя:

  • MaxPatrol SIEM — для мониторинга событий безопасности и обнаружения инцидентов;
  • MaxPatrol VM — для управления уязвимостями;
  • PT Network Attack Discovery (PT NAD) — для анализа сетевого трафика и выявления вредоносной активности;
  • PT Application Firewall — для защиты внешних веб-ресурсов;
  • PT Sandbox — для определения и анализа вредоносных файлов;
  • MaxPatrol EDR — для контроля и реагирования на конечных устройствах;
  • MaxPatrol O2 — для перепроверки событий безопасности и автоматического выявления кибератак;
  • Anthill IRP (внутренняя разработка SOC PT ESC) — для работы с инцидентами в режиме единого окна.
Игры будущего.svg
Рисунок 1. Система кибербезопасности «Игр будущего»

Узловая телеметрия собиралась и пересылалась в MaxPatrol SIEM исключительно агентами EDR — этот способ оказался ощутимо быстрее и эффективнее, чем традиционные методы получения журналов (syslog, WEC и др.).

Кроме того, MaxPatrol EDR позволял буквально на лету устранять фиксируемые вредоносные активности. При обнаружении ВПО на игровом ПК спортсмена, находящегося в буткемпе в одном из отелей Казани, специалистам ЦПК не нужно было врываться к людям в номера в поисках зараженного устройства :) С помощью EDR-системы мы оперативно изолировали скомпрометированные узлы буквально за пару кликов. 

рисунок 2.png
Рисунок 2. Модули MaxPatrol EDR

Периметровый трафик, очищенный от TLS, давал нам полную видимость происходящего на внешних границах инфраструктуры. Трафик снимался после прохождения NGFW — в PT NAD передавалась уже расшифрованная копия (см. рис. 3).

рисунок 3 копия.jpg
Рисунок 3. Вредоносный запрос в расшифрованном TLS-трафике

Процессы

Большая доля процессной подготовки пришлась на управление инцидентами. Перед нами стояло несколько нетривиальных задач:

  • Реализация единой точки коммуникации по подтвержденным инцидентам между участниками процесса обеспечения кибербезопасности турнира.
  • Автоматизация взаимодействия команды PT ESC со специалистами других ИТ- и ИБ-команд в рамках реагирования на инциденты.
  • Интеграция со сторонней системой учета инцидентов, которой пользовалась ИБ-команда технологического операционного центра (ТОЦ) «Игр будущего».

Для решения этих задач мы скорректировали стандартный воркфлоу и внедрили в Anthill IRP новые функции:

  • Система автоматически отправляла письма с данными по инцидентам на электронную почту, откуда их забирал и парсил коннектор системы учета инцидентов ТОЦ.
  • По запросу оператора SOC система пересылала инциденты с комментариями в Mattermost — мессенджер, где осуществлялась оперативная коммуникация между SOC и специалистами по реагированию.
рисунок 4.png
Рисунок 4. Отправка инцидента из Anthill IRP в Mattermost

 

рисунок 5 копия.jpg
Рисунок 5. Инцидент отправлен в канал нужного спортивного объекта
  • При закрытии инцидента система забирала переписку из Mattermost и сохраняла в соответствующей карточке.
рисунок 6.png
Рисунок 6. Переписка по инцидентам хранилась в специальном разделе «Чат»

Еще до начала мероприятия процесс мониторинга и работы с инцидентами был отшлифован на командно-штабных тренировках с участием всех вовлеченных специалистов.

Эксперты

Порой у нас возникало ощущение, что к защите «Игр будущего» привлечена едва ли не добрая половина сотрудников Positive Technologies. Салют коллегам из соседних подразделений ;)

  • Команда консалтинга помогала с определением недопустимых событий и реализацией процессов обеспечения безопасности турнира.
  • Пентестеры провели системную работу по поиску уязвимостей и верификации недопустимых событий.
  • Архитекторы и инженеры подготовили инфраструктуру и внедрили СЗИ.
  • Специалисты по эксплуатации обеспечивали поддержку в режиме 24/7.

Дежурные аналитики нашего SOC 24/7 удаленно обрабатывали инциденты в IRP-системе, верифицировали сработки и занимались реагированием. Кроме того, в Казань были откомандированы эксперты из других команд PT ESC: отделов мониторинга информационной безопасности, обнаружения атак, форензики и т. д. Они работали непосредственно в ТОЦ и взаимодействовали с представителями регуляторов, организаторами, ИТ- и ИБ-партнерами турнира.

 

рисунок 7.png
Рисунок 7. Специалисты SOC PT ESC

Пора переходить к самому интересному — киберугрозам!

ЦПК в действии: инциденты на «Играх будущего»

≈ 200 подтвержденных инцидентов мы выявили и купировали за время мероприятия.

> 4000 алертов команда мониторинга обработала в операционный и предоперационный периоды.

WannaCry-like

В период подготовки к турниру PT NAD зафиксировал во внутренней сети множественные попытки эксплуатации уязвимости CVE-2017-0144 (EternalBlue) и коммуникаций с бэкдорами DoublePulsar (см. рис. 8–10). Активность была замечена на узлах legacy-инфраструктуры организаторов, не имевшей прямого отношения к турниру.

рисунок 8 (1).png
Рисунок 8. Срабатывания правил PT NAD на активность, связанную с использованием эксплойта EternalBlue
рисунок 9.png
Рисунок 9. Проверка атакуемого узла на наличие уязвимости CVE-2017-0144
рисунок 10.png
Рисунок 10. Проверка наличия на атакуемом узле бэкдора DoublePulsar

С этих же устройств были выявлены попытки активного сканирования локальной сети на предмет доступных 445/SMB-портов (см. рис. 11).

рисунок 11 (1).jpg
Рисунок 11. Сканирование внутренней сети по порту 445

Все свидетельствовало о том, что на узлах функционировало ВПО WannaCry или Petya. Эти шифровальщики распространяются по сети путем эксплуатации уязвимости CVE-2017-0144 в SMBv1 и установки бэкдора DoublePulsar на скомпрометированные устройства.

Мы оперативно изолировали зараженные узлы и перезаливали операционные системы. Плюс дополнительно проверили инфраструктуру на наличие обновлений MS17-010. Суммарно за время мониторинга наш ЦПК выявил 39 устройств, инфицированных подобным ВПО.

Отметим, что успешная эксплуатация уязвимости CVE-2017-0144 — не единственный вектор заражения узлов вредоносным ПО, использующим для распространения EternalBlue. Вредонос также может попасть в инфраструктуру из-за опрометчивых действий пользователей — например, после скачивания ПО из небезопасных источников. Поэтому даже установленный патч MS17-010 не исключает возможности заражения, хотя и предотвращает его дальнейшее распространение.

Атаки на веб-приложения

Еще до начала мероприятия наши специалисты обнаружили несколько уязвимостей, использование которых позволило бы злоумышленникам преодолеть внешний периметр и попасть в инфраструктуру «Игр будущего». Мы их устранили и взяли внешние веб-ресурсы под защиту PT Application Firewall.

Уже во время мероприятия мы ежедневно фиксировали не менее тысячи атак на внешние ресурсы «Игр будущего». Во время церемоний открытия и закрытия турнира, а также в дни финалов соревнований показатель возрастал примерно до 10 000 атак (см. рис. 12).

рисунок 12.png
Рисунок 12. Всего за час PT Application Firewall зафиксировал более 10 000 атак на веб-ресурсы турнира

Наблюдаемая активность была во всех отношениях разнообразной — начиная с уровня сложности атак и заканчивая местоположением их источников. К примеру, наши продукты регулярно фиксировали агрессивные попытки автоматизированного сканирования на уязвимости (см. рис. 13–14).

рисунок 13.png
Рисунок 13. Автоматизированный поиск уязвимостей на внешнем ресурсе турнира
рисунок 14.png
Рисунок 14. PT Application Firewall фиксирует нелегитимные запросы с одного IP-адреса

Были и точечные попытки эксплуатации в ручном режиме (см. рис. 15).

рисунок 15 (1).jpg
Рисунок 15. Попытка эксплуатации уязвимости CVE-2023-28432 в MinIO (PT NAD)

При подготовке к мероприятию мы разработали специальный пакет экспертизы для MaxPatrol SIEM с правилами, основанными на событиях PT Application Firewall. Например, одно из правил срабатывало на проведение множественных веб-атак на внешние ресурсы турнира с одного IP-адреса (см. рис. 16).

рисунок 16.png
Рисунок 16. Срабатывание MaxPatrol SIEM на многочисленные попытки эксплуатации уязвимостей на веб-ресурсе

Отметим, что попытки внешнего сканирования сервисов, доступных из интернета, обычно носят массовый характер, поэтому с ходу отличить целенаправленное воздействие от рядовых ботов бывает непросто. На выявление общих паттернов в отдельных атаках и определение связей между ними требуется время. Так, отражение одной любопытной целевой атаки на веб-ресурсы турнира заняло у нас несколько дней.

Расследование началось с того, что мы обнаружили факт массированного сканирования ряда периметровых сервисов (см. рис. 17).

рисунок 17.png
Рисунок 17. С этого IP-адреса было зафиксировано более 2500 нелегитимных запросов в течение двух часов

IP-адрес источника был чистым, не имел репортов на сервисах проверки репутации и принадлежал отечественному хостинг-провайдеру.

рисунок 18.png
Рисунок 18. Результаты проверки адреса на AbuseIPDB

Примечательно и то, что значения User-Agent ротировались практически в каждом новом нелегитимном запросе (мы насчитали более 1000 уникальных значений заголовка).

рисунок 19.png
Рисунок 19. Часть зафиксированных User-Agent

Мы заблокировали вредоносный адрес с помощью межсетевого экрана и забыли об этой активности. Как оказалось, ненадолго :) Уже через день мы обнаружили серию аккуратных попыток ручной эксплуатации свежих уязвимостей на одном из веб-ресурсов. Схожесть с описанным выше кейсом состояла в том, что атаки снова проводились с одного IP-адреса, но с разными User-Agent в запросах. Проверив новый IP-адрес, мы выяснили, что он тоже чистый и относится к пулу уже знакомого нам хостинга. Стало понятно, что одной блокировкой здесь не обойтись. При содействии регуляторов мы передали информацию о злоумышленниках хостинг-провайдеру и в соответствующие органы. Вскоре активность исчезла с наших радаров.

Майнеры криптовалют

Деятельность криптомайнеров нельзя назвать вредоносной в полном смысле слова: она не несет прямых угроз безопасности и не причиняет непосредственного ущерба ИТ-ресурсам. Представители этого класса ВПО часто попадают в инфраструктуру компаний вполне легально — через сотрудников, решивших подзаработать на растущем рынке криптовалют. Однако деятельность майнеров может повысить нагрузку на корпоративные вычислительные мощности, замедлить работу сервисов и привести к сопутствующим финансовым расходам. Кроме того, скрыто установленный майнер вполне может сопровождать более серьезное ВПО.

Мы тщательно отслеживали и пресекали все попытки майнинга на мощностях «Игр будущего». В PT NAD есть более 120 правил для обнаружения различных семейств майнеров, а также постоянно пополняющийся репутационный список с адресами майнинговых пулов.

рисунок 20.png
Рисунок 20. Срабатывание PT NAD на CoinMiner

 

рисунок 21.png
Рисунок 21. DNS-резолв домена, принадлежащего майнинговому пулу

 

рисунок 22.png
Рисунок 22. Активность скрытого майнера в сетевом трафике

Мы удалили все обнаруженные майнеры, а узлы, на которых фиксировалась их активность, дополнительно проверили на наличие другого ВПО. Суммарно за время мониторинга наш ЦПК выявил инструменты для майнинга на 18 узлах.

RAT-утилиты

На «Играх будущего» использование сервисов для удаленного управления ПК было запрещено и считалось прямым нарушением политик ИБ. Тем не менее PT NAD и MaxPatrol SIEM с завидной регулярностью фиксировали в инфраструктуре активность сразу пяти RAT-утилит: TeamViewer, AnyDesk, RMS, Ammyy Admin и Radmin (см. рис. 23–26).

рисунок 23.jpg
Рисунок 23. Срабатывание PT NAD на активность RMS
рисунок 24 (1).jpg
Рисунок 24. Срабатывание PT NAD на активность Ammyy Admin
рисунок 25.jpg
Рисунок 25. Срабатывания MaxPatrol SIEM на подключение TeamViewer
рисунок 26.jpg
Рисунок 26. Срабатывания MaxPatrol SIEM на использование AnyDesk

Мы отработали все выявленные инциденты, удалили с узлов ПО для удаленного управления (кроме согласованных случаев) и наставили пользователей на путь истинный :) Суммарно наш ЦПК зафиксировал 17 случаев использования RAT-утилит.

Нелегитимное сетевое оборудование

Однажды PT NAD зафиксировал необычно большие объемы трафика, который шел с нескольких внутренних IP-адресов. Проанализировав сетевую активность каждого из узлов, мы обнаружили и другие аномалии: многообразие User-Agent в исходящих HTTP-сессиях, разнородные ОС, DNS-запросы и др. (см рис. 27–29).

рисунок 27.png
Рисунок 27. Перечень User-Agent в исходящем HTTP-трафике одного из узлов

 

рисунок 28.png
Рисунок 28. Перечень ОС на одном из узлов

 

рисунок 29.png
Рисунок 29. DNS-запросы от одного из узлов

Наши эксперты выдвинули гипотезу, что подобное поведение может быть характерно для роутеров, но IP- и MAC-адреса этих узлов в перечне инвентаризованного сетевого оборудования не значились. Не знали о них и специалисты заказчика. Тогда мы провели полноценное расследование вместе с коллегами, ответственными за реагирование. В результате мы обнаружили функционирующие на спортивных объектах коммутаторы и роутеры, которые несанкционированно установили сами пользователи либо ИТ-специалисты подрядчиков. Очевидно, ЦПК не мог отслеживать журналы с этого оборудования и, что еще важнее, трафик с сегментов, оказавшихся за NAT. Мы оперативно заблокировали нелегитимные устройства. Суммарно за время мониторинга наш ЦПК обнаружил четыре несанкционированных сетевых устройства.

***

Значимые международные мероприятия неизбежно привлекают внимание киберзлоумышленников (мы уже обеспечивали безопасность масштабных спортивных событий, в том числе Олимпиады и чемпионата мира по футболу, поэтому знаем, о чем говорим ;) ). За время турнира мы столкнулись и с фишинговым сайтом, имитировавшим портал для покупки билетов на мероприятие, и с разными видами атак из гостевых Wi-Fi-сетей (например, сетевой разведкой и брутфорсом доменных учетных записей), и с BitTorrent- и VPN-клиентами на узлах инфраструктуры. Тем не менее мы добились полного отсутствия ИБ-инцидентов со значимым ущербом на «Играх будущего».

Хотите узнать больше? Positive Hack Media выпустили документальный фильм про «Игры будущего». Enjoy!

Мы дěлаем Positive Research → для ИБ-экспертов, бизнеса и всех, кто интересуется ✽ {кибербезопасностью}