30 września nie był kolejnym zwykłym dniem dla Organizatorów i Uczestników Ligi Cyber Twierdzy. Po kilku miesiącach rozgrywek nadeszła pora na wielki finał, który po raz kolejny odbył się w wersji hybrydowej. Tym razem jednak nie wystarczyła już mała sala w naszym biurze, ale potrzebny był hotel i zorganizowanie centrum zarządzania Cyber Twierdzą.
Pierwszy sezon Ligi Cyber Twierdzy wystartował jeszcze w 2020 roku i okazał się niemałym sukcesem, więc już 22 marca 2022 r. udało się rozegrać pierwszy turniej drugiego sezonu. Od początku rozgrywki cieszyły się dużą popularnością, a ostatecznie w tabeli wyników znalazło się ponad 60 zespołów. W trakcie kolejnych miesięcy drużyny musiały zmierzyć się z różnymi atakami, m.in. HermeticWiper, Follina, MuddyWater. Wszystkich scenariuszy było 20 w czasie 6 turniejów, z czego 5 zostało rozegranych w trakcie finału.
W hotelu Sound Garden w Warszawie już od rana Organizatorzy uwijali się, żeby stworzyć salę dla graczy, trybuny dla kibiców i całą strefę networkingową ze stoiskami naszych Partnerów. Próby mikrofonu, testowanie najlepszego oświetlenia, odpowiednie rozsadzenie drużyn – wszystko musiało być dopięte na ostatni guzik. Bardzo wcześnie zaczęli się pojawiać zawodnicy – wielu nie mogło się doczekać rozpoczęcia rozgrywek finałowych. Już wcześniej pojawił się komunikat, że finał będzie zawierał pięć scenariuszy – mogło się więc okazać, że dotychczasowe podium mocno się zmieni. Ponadto utworzona została zupełnie odrębna klasyfikacja finałowa, w której liczyły się tylko drużyny obecne podczas stacjonarnej wersji wydarzenia. Gdyby atrakcji było mało, ISSA Polska zadbała o jeszcze jedną: po rozegraniu wszystkich gier, odbywało się losowanie, w którym można było zgarnąć 3×550 zł.
Ostatnie rozgrywki II sezonu Ligi Cyber Twierdzy rozpoczęły się chwilę po 10. Po oficjalnym przywitaniu, głos zabrał Łukasz Wojewoda – dyrektor departamentu cyberbezpieczeństwa. Następnie nadszedł czas na prezentacje pierwszego Partnera: Macieja Pyznara z ComCERT, po której rozpoczął się pierwszy scenariusz. Scenariusz bazował na aktywności grupy APT odpowiedzialnej za ataki na wiele organizacji, podczas których kompromitowane były serwery mające dostęp do Internetu. Celem ataków było pozyskanie danych. Atakujący uzyskiwał przyczółek, wykorzystując różne exploity skierowane na serwery Windows IIS i aplikacje internetowe. Grupa w swych atakach wykorzystywała niestandardowe złośliwe oprogramowanie dedykowane do serwerów IIS (NodeIISWeb). Sytuacja po pierwszym scenariuszu okazała się niezwykle ciekawa: dotychczasowi liderzy wcale nie zajęli pierwszego miejsca, a w zamian za to, na prowadzenie wysunęła się jedna z dotychczas słabszych grup.
Nadszedł czas na drugi scenariusz, ale zanim przedstawiono najważniejsze założenia, na scenę wkroczył reprezentant firmy GreyCortex – naszego kolejnego Partnera. W trakcie trwania tej prezentacji uczestnicy musieli być czujni, kryły się tam bowiem wskazówki dotyczące kolejnego ataku. Wszystko stało się jasne już po kilku chwilach. Scenariusz drugi bazował na aktywności grupy APT odpowiedzialnej za ataki na wiele organizacji. Celem ataku było pozyskanie środków finansowych od ofiar ataku w zamian na odzyskanie dostępu do danych. Atakujący wykorzystywał usługi zdalnego dostępu funkcjonujące w sieci ofiar do uzyskania przyczółku. Podczas ataku grupa wykorzystuje zazwyczaj także podatności umożliwiające eskalację uprawnień i przejęcie kont administracyjnych: G Ransomware. Wyniki szybko pokazały, że rywalizacja nie będzie nudna – do gry o najwyższe lokaty włączyli się jedni z faworytów: Ogóry i Komando Wilków Alfa, ale nie zabrakło kilku niespodzianek: wciąż wysoko plasowała się na przykład drużyna Pingwiny czy Rycerze Światłowodów. Przed przerwą nic nie było pewne.
Przerwa obiadowa była świetną okazją do networkingu, na który Organizatorzy mocno stawiali. Partnerzy przygotowali swoje stanowiska z dbałością o największe szczegóły. Wkoło toczyły się rozmowy pomiędzy wszystkimi uczestnikami wydarzenia, a dla chętnych możliwa była gra w specjalnie przygotowaną krótką wersję Cyber Twierdzy.
Nadeszła pora na trzecią prezentację Partnera: tym razem należało bardzo uważnie słuchać Blackberry Cybersecurity w nadziei, że wyłapie się wskazówki, które pomogą w grze. Scenariusz trzeci zbliżał się wielkimi krokami. Kilka minut później wyczekiwana informacja pojawiła się na ekranie. Scenariusz bazował na ataku APT skierowanemu przeciwko dużemu przewoźnikowi lotniczemu. Celem ataku było pozyskanie danych – atak zakończony został powodzeniem. Grupa APT przejęła dane przewoźnika z okresu około 10 lat, w tym dane osobowe i dane kart kredytowych 4,5 miliona pasażerów: APT 41 Air India. Ten scenariusz ewidentnie spodobał się drużynie Ogóry, Pingwiny i Grupa Specjalna, które zdobyły podczas trwania rozgrywki, najwięcej punktów. W tabeli miejsca wciąż się zmieniały, a pozostały jeszcze dwa scenariusze do rozegrania.
Nadszedł czas na przyspieszenie rozgrywek, dlatego czwarty i piąty scenariusz nie był poprzedzony prezentacjami, to oznaczało dla zawodników również brak podpowiedzi. Scenariusz czwarty okazał się atakiem ShadowPAD: bazował bowiem na kampanii skierowanej przeciwko przemysłowym systemom kontroli (ICS) z wykorzystaniem backdoora. Kampanię zaobserwowano w październiku 2021 r. Wśród zainfekowanych maszyn znalazły się komputery inżynieryjne w systemach automatyki budynkowej, które były częścią infrastruktury firmy telekomunikacyjnej. W przypadku niektórych organizacji atakujący do uzyskania przyczółku wykorzystywał podatności w Microsoft Exchange. Celem kampanii było pozyskanie danych. Doskonale do zadania przygotowała się drużyna Komando Wilków Alfa, deklasując rywali w tej jednej rozgrywce. Bardzo dobrze gra poszła również Blu Timowi oraz Spifftacular Mob. Przed scenariuszem numer pięć nie zostały pokazane rezultaty, by do końca nie być pewnym wyniku.
Nadszedł czas na ostatni tego dnia scenariusz przygotowany w oparciu o atak na Ubera, który wszystko miał rozstrzygną. Celem było pozyskanie danych – atak zakończony został powodzeniem. Grupa APT uzyskała dostęp do danych po skompromitowaniu konta w systemie PAM ofiary. Poświadczenia bezpieczeństwa do skompromitowanego konta zostały pozyskane w fazie Discovery z zasobów ofiary wykrytych przez atakującego już po uzyskaniu przyczółku. Ten scenariusz sporo namieszał i wcale nie był prosty, najlepsza okazała się drużyna CyberEkspress, co umocniło ich na pozycji w tabeli.
Zanim uczestnicy dowiedzieli się, kto okazał się najlepszy w trakcie finału, ISSA Polska przygotowała losowanie nagród. Każda drużyna miała szansę, by wygrać 550 zł. Trzema szczęśliwymi zespołami okazali się: Allsafe, ęąśćż oraz Rycerze Światłowodów. Gratulacje! To jednak nie okazał się koniec niespodzianek. Wśród gości specjalnych wymienić trzeba Roberta Koślę – członka Rady Fundacji Bezpieczna Cyberprzestrzeń, gen. bryg. Oleksandra Potii, pełniącego funkcję Zastępcy Przewodniczącego State Service of Special Communications and Information Protection of Ukraine oraz ambasadora Krzystofa Patureja – Prezesa i inicjatora Międzynarodowego Centrum Bezpieczeństwa Chemicznego w Polsce.
Ostatecznie nadszedł czas na poznanie wyników. Podium wśród drużyn, które przybyły do Warszawy ukształtowała się następująco:
1. Ogóry – nagroda 3000 zł
2. CyberEkspress – nagroda 2000 zł
3. Komando Wilków Alfa – nagroda 1000 zł
Gratulujemy!
Jak jednak wygląda to najważniejsze podium za cały sezon?
1. ęąśćż – nagroda 12000 zł
2. Ogóry – nagroda 5000 zł
3. Komando Wilków Alfa – nagroda 3000 zł
Gratulacje dla zwycięzców!
To jednak nie był koniec wydarzenia! Po losowaniu nagród od ISSA Polska i ogłoszeniu wyników nadszedł czas na ostatnią prezentację Partnera: Piotr Urbańczyk z Tekniski podjął się tematu zagrożeń i ochrony instalacji przemysłowych. Następnie oficjalnie rozpoczęło się After Party, na którym można było podzielić się wrażeniami zarówno z finału, jak i całego sezonu.
Na koniec zostawiliśmy wisienkę na torcie: prezentację Cyber Twierdzy 2.0, którą bliżej poznacie już w 3 sezonie, na który serdecznie Was zapraszamy.
Ogromne podziękowania należą się zawodnikom, którzy uczestniczyli w rozgrywkach na przestrzeni całego sezonu. Wydarzenie jednak nie byłoby tak wyjątkowe, gdyby nie wsparcie naszych partnerów: Blackberry CYbersecurity, ComCERT, GreyCortex, MCX, Risk Monitor, Seqred, Tekniska, a także ISSA Polska (która, jak zapewne pamiętacie, była również partnerem drugiego turnieju) oraz Zaufanej Trzeciej Stronie. Dziękujemy również Pełnomocnikowi Rządu ds. Cyberbezpieczeństwa Januszowi Cieszyńskiemu za udzielenie patronatu honorowego finałowi II sezonu Ligi Cyber Twierdzy.
Sezon III startuje już w grudniu, nie może Was zabraknąć podczas rozgrywek!