В общей сложности командам атакующих за 35 часов удалось реализовать 19 недопустимых событий. Сначала нападающие нарушили работу очистных сооружений: несколько миллионов литров нечистот вылилось в окружающие водоемы. Местные реки, озера, леса и поля оказались залиты зловонной жижей, а виртуальные жители подавали массовые жалобы в управляющую компанию «Сити» и требовали срочно решить проблему.
Затем виртуальные жители страны получили сообщение от системы оповещения при чрезвычайной ситуации. Взломавшие систему команды сформировали ложное сообщение об утечке опасного вещества на нефтехимическом заводе. В городе началась паника, работа предприятия была приостановлена.
В обед удалось реализовать сразу два недопустимых события на Единой государственной IT-платформе. В результате этих атак персональные данные сотрудников платформы оказались на черном рынке, а учетная запись главы государства была скомпрометирована. К тому моменту, как в пресс-службе правительства подтвердили информацию о взломе аккаунта, размещенные сообщения не только вызвали ажиотаж в кассах компании Heavy Logistics и сказались на цене ее акций, но и заставили людей серьезно сомневаться в надежности Единой государственной IT-платформы.
Команда Codeby&NitroTeam заняла первое место среди атакующих, на ее счету реализация шести недопустимых событий. Второе место заняла команда True0x43. Третье место досталось команде SpbCTF, которой удалось зарепортить больше всех уязвимостей и реализовать самое первое недопустимое событие.
Всего за время кибербитвы недопустимые события были реализованы 19 раз, из них шесть были уникальными. Пострадали четыре компании — Heavy Logistics, УК «Сити», государственная IT-платформа и «ОйлХим». При этом транспортная компания Heavy Logistics стала основным объектом атак: все команды атакующих смогли устроить сбой системы информирования пассажиров на железной дороге.
Реализовать самые опасные диверсии, заложенные в сценарий противостояния, у «красных» не получилось (за исключением аварии на очистных сооружениях). Нападающие не смогли отключить городское освещение, остановить транспортировку нефтепродуктов в хранилища и реализовать другие угрозы.
Защитники выявили 173 инцидента. Чаще всего команды указывали, что смогли обнаружить подозрительные события с помощью SIEM-системы, системы NTA, WAF и песочницы. В промышленных сегментах защитники использовали систему анализа технологического трафика. Среднее время расследования составило 16 часов 16 минут. Самое быстрое расследование было проведено за 3 часа 8 минут командой Your shell not pass.