Атаки на системы ИИ и дезинформация стали ключевыми элементами учений по сценарию программы-вымогателя, в которых CSO участвовала в рамках проходящей в этом месяце конференции Infosecurity Europe.
В учениях «Enter the War Room» (Вход в ситуационный центр), организованных и проведенных поставщиком решений в области кибербезопасности Semperis, был разыгран сценарий кибератаки на вымышленную сеть супермаркетов BlueCart.
CSO участвовала в качестве одного из восьми членов «красной команды» предполагаемых злоумышленников, связанных с государственными структурами (APT 64, также известная как Checkout Chaos), которые были заинтересованы в нанесении ущерба репутации атакованных супермаркетов и создании хаоса не меньше, чем в получении прибыли.
В прошлом году мы участвовали в аналогичных учениях, также организованных Semperis, но в противоположной роли — в качестве медиаконсультанта «синей команды», защищавшей системы вымышленного предприятия водоснабжения от атаки.
Правила ведения игры
Учения по сценарию программ-вымогателей (ransomware tabletop exercises) помещают участников в реалистичный, но вымышленный сценарий кибератаки, где каждая команда по очереди в течение 10 минут разрабатывает свои планы атаки и защиты, после чего отчитывается о результатах другой стороне.
Каждый ход включает цикл «атака-ответ», при этом Semperis выступает в роли ведущего игры. Все учения длились около двух часов.
Как и многие настольные учения, эта симуляция была разработана для того, чтобы заставить участников мыслить нестандартно, улучшить межкомандное взаимодействие и развить более эффективные возможности реагирования на инциденты путем выявления «слепых зон».
Каждая команда состояла из семи участников из государственных и частных организаций, включая бывших хакеров, консультантов по безопасности и руководителей по реагированию на инциденты. В отличие от мероприятия 2025 года, имена и личности участников в этом году держались в секрете.
Утечка данных на втором проходе
В качестве цели учений «Enter the War Room» в этом году продуктовый ритейлер BlueCart использует центр управления цепочками поставок на базе ИИ, предназначенный для обеспечения прозрачности в отношении запасов, логистики и выполнения заказов. Эта система играет ключевую роль в поддержании наполненности полок и бесперебойной доставке.
Логистика, планирование, складские операции и выполнение заказов в магазинах были централизованы в новом центре технологий и операций.
«Красная команда» начала с разведки, чтобы найти поставщика или логистического партнера, который уже имеет доверенное подключение к командному центру ИИ, а затем использовать эту точку опоры для доступа к общим порталам, API или инструментам удаленного доступа.
Комбинация украденных учетных данных разработчиков, слабого применения MFA и избыточно привилегированных служебных учетных записей использовалась для взлома систем планирования и инвентаризации и кражи данных карт лояльности — это три из нескольких векторов доступа, которые обычно применяются сегодня. Злоумышленники также пытались проникнуть в среду Active Directory BlueCart, используя комбинацию фишинга и кражи учетных данных.
Злоумышленники также стремились использовать плохо сегментированную сеть управления зданием ритейлера для нарушения работы систем отопления, охлаждения и вентиляции.
«Синяя команда» защитников решила отклонить требования программы-вымогателя, на что злоумышленники ответили утечкой данных программы лояльности, чтобы нанести репутационный ущерб BlueCart.
Ложные оповещения и дезинформация
Злоумышленники сгенерировали тысячи ложных оповещений, чтобы запутать работу аналитиков центра безопасности и помешать реагированию. Для противодействия этому защитники создали внеполосные каналы связи.
Продолжая попытки нарушить работу BlueCoat, злоумышленники нарушили работу отдела расчета заработной платы. Используя увольнения, вызванные переходом на операции на базе ИИ, злоумышленники вышли в социальные сети, такие как Reddit и 4chan, пытаясь спровоцировать хактивистов на участие в атаках на BlueCoat.
Злоумышленники также создали дипфейк генерального директора BlueCart — снятый так, будто он находится на своей частной яхте — в котором говорилось, что сокращение рабочих мест позволит BlueCoat увеличить прибыль и расширить свою деятельность.
Злоумышленники сгенерировали поддельные заказы на доставку неуместных товаров, таких как секс-игрушки, и скоропортящихся продуктов, таких как мороженое.
«Синяя команда» заявила, что создала ловушку (honeypot), поэтому злоумышленники находились только в этой среде и никогда не имели доступа к реальной среде или данным клиентов.
Проверка относительных достоинств этих заявлений и контрзаявлений — которые порой напоминали рэп-баттл, а не игру со структурированными правилами, как шахматы, — вышла за рамки учений.
Настольные учения предоставили иммерсивный опыт без анализа технических данных, таких как специфические для учений файлы журналов.
Разбор полетов
Выступая после учений, Гвидо Гриленмайер, ведущий технолог Semperis, пояснил, что Enter the War Room не были техническими настольными учениями, а способом для участников «расширить кругозор и повеселиться».
Сценарий был разработан для оттачивания готовности к киберинцидентам по аналогии с тем, как военные игры используются для обучения вооруженных сил в мирное время.
Саймон Ходжкинсон, стратегический советник Semperis, отметил, что учения продемонстрировали, что реальная готовность и устойчивость больше зависят от людей и процессов, чем от инструментов.
«Синяя команда была хорошо структурирована, думала о том, как минимизировать финансовые и репутационные потери для бизнеса, и признавала, что, если «красная команда» применит разрушительный потенциал, им придется расставить приоритеты и восстановить минимально жизнеспособный бизнес», — сказал Ходжкинсон.
«Красная команда была изобретательна, используя такие методы, как обман, чтобы отвлечь синюю команду и достичь своей цели», — добавил Ходжкинсон. «Несмотря на то, что их мотивация не была финансовой, они воспользовались возможностью заработать деньги посредством манипулирования СМИ и игры на понижение акций».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
