Ešte pred pár týždňami bola CoolBank doslova cool finančnou inštitúciou. Stabilná infraštruktúra garantovala štandardné procesy a prílev spokojných zákazníkov v bežnej dennej prevádzka. Až do času, kým nikto negarantoval nič… V CoolBank sa v istom momente začali diať zvláštne veci. Kde-tu sa do e-mailovej služby prihlásil užívateľ s podozrivým profilom, cloudové služby, ktoré mali bežať na 100 % odrazu spomaľovali a infraštruktúru zaťažovali zvláštne presuny dát. Pozorný „bezpečák“ si nemohol nevšimnúť tiché signály, že v sieti je zrejme niekto, kto by tam nemal mal byť.
„Digitálna lúpež v CoolBank“
CTFd kvalifikácia GUARDIANS 2026 bola komplexnou simuláciou odvíjajúcou sa okolo kybernetického útoku na fiktívnu finančnú inštitúciu. Účastníci museli odhaliť stopy sofistikovanej hackerskej skupiny, ktorá postupovala v piatich ničivých fázach:
1. Fáza: Vlámeme sa dnu (Krádež identity)
Všetko sa začalo, ako to už dnes často býva, zlyhaním ľudského faktora. Útočníci si na dark webe kúpili uniknuté prihlasovacie údaje patriace HR zamestnankyni menom Lea Ciger. Vďaka tomu obišli prvú líniu obrany. Do jej pracovných účtov (Outlook, Teams) sa prihlásili priamo, pričom maskovali svoju polohu cez podozrivé IP adresy (napr. z Bangladéša).
2. Fáza: Zadné vrátka (Prelomenie servera)
Útočníci našli slabinu v podobe servera pre žiadosti o pôžičky, ktorý bežal na zraniteľnej verzii Apache Tomcat. Čerstvú zraniteľnosť (CVE-2025-24813) bez jediného zaváhania hackeri využili a nahrali do systému škodlivý kód (Web Shell), čím získali prístup k serveru. V tejto fáze sa útočníci dostali dnu.
3. Fáza: Cloudová lúpež (Krádež dát a ťažba kryptomien)
Prečo kradnúť peniaze z trezoru, keď môžete ukradnúť dáta v cloude? Útočníci sa zo servera presunuli do AWS cloudu banky. Spustili na serveroch ťažbu kryptomeny (XMRig), aby zahltili cloudové služby banky, čo je osvedčenou taktikou rozptýlenia pozornosti. Kým IT oddelenie riešilo vyťažené zdroje prostredia, útočníci v tichosti kradli citlivé osobné údaje žiadateľov o úvery z S3 úložísk.
4. Fáza: Tichý pohyb sieťou (Lateral Movement)
Hackeri sa nezastavili pri cloude. Potrebovali sa dostať hlbšie. Vytvorili si skryté tunely (pomocou nástrojov ako ligolo-ng a zneužitím legitímneho softvéru AnyDesk), cez ktoré sa nepozorovane presúvali medzi oddelenými časťami siete (z DMZ do internej siete). Cestou kompromitovali FTP server a posielali interné dokumenty na server v Brazílii.
5. Fáza: Deštruktívne finále (Ransomware)
Záver útoku bol likvidačný. Hackeri sa dostali až ku „korunovačnému klenotu“ siete, k Domain Controlleru (adc2ofc), ktorý riadi celú sieť. Aby zahladili stopy a banku vydierali, nasadili neslávne známy ransomware Akira. Zmazali bezpečnostné zálohy (Shadow Copies) a zašifrovali kľúčové systémy.
Súťažiaci v CTFd GUARDIANS 2026 mali za úlohu odhaliť fiktívny incident od prvého podozrivého prihlásenia. Banky spravidla pre vlastné finančné motivácie, ale aj kvôli vonkajším reguláciám, investujú oproti iným odvetviam nadštandard do kybernetickej bezpečnosti. Poskytovateľom tréningov pre banky je aj Binary Confidence. Na Slovensku je bankový sektor podľa pravidelných správ Národného bezpečnostného úradu na prvej priečke oproti iným odvetviam. Ani to však negarantuje, že podobný incident sa nemôže udiať aj v realite.
Celý príbeh popisuje v kvalitnom spracovaní naozaj vzorovo napísaný Incident Report od tímu DTCS: CoolBankIncidentReport_DTCS_team
Rekordný ročník 2026
Po desiatich rokoch existencie súťaže môžeme s hrdosťou povedať, že išlo podľa všetkých štatistík o najúspešnejšie kolo v histórii, s celkovým počtom 284 registrovaných používateľov a 144 registrovaných tímov.
Počas kvalifikačného CTF zaznamenala platforma spolu 26 313 odpovedí, z ktorých bolo 10 439 úspešných a 15 874 neúspešných. Takýto objem pokusov jasne ukazuje, že tímy sa nevzdávali po prvom neúspechu a k úlohám sa vracali opakovane presne tak, ako sa to deje pri reálnom incidente.
FOTO: Pomer správnych a nesprávnych odpovedí
Rozsah prostredí bol bezprecedentný. Úlohy boli rozdelené do desiatich kategórií od HR a externého perimetra, cez AWS cloud, Microsoft 365, Azure, DMZ a Active Directory, až po úverové systémy a záverečnú správu o incidente. Len v kategórii Loan riešili hráči 41 úloh, v HR 38 a v AWS 37.
Zároveň sa ukázalo, „kde sa láme chlieb.“ Najťažšie úlohy z DMZ vyriešilo len niekoľko tímov. Úloha DMZ29, v ktorej mali riešitelia záhady zistiť, aký príkaz útočníci použili vo Velociraptore, na tvorbu privilegovaného užívateľa dosiahla len tak, tak dvojciferné číslo správnych odpovedí. Úloha HR13 v úvodnej fáze príbehu zase zaznamenala stovky neúspešných pokusov, čo jasne ukazuje, ako náročné bolo pre mnohých hráčov správne vyhodnotiť kompromitáciu identity našej fiktívnej „Ley Ciger“ v prostredí, ktoré na prvý pohľad vyzerá „čisto“.
Cheatovať sa pri fair play neoplatí
Tento rok sme do Guardians zaradili novinku v podobe cloudových technológií. Išlo o nové prostredie nielen pre súťažiacich, ale aj pre nás ako tvorcov, najmä z pohľadu návrhu a implementácie útokov. Výzvou bolo najmä správne zvoliť formu tak, aby úlohy zostali realistické, vyvážené a zároveň technicky zaujímavé.
Už prvý týždeň sa niektorým hráčom podarilo úspešne vyriešiť všetky úlohy. Počas celého trvania súťaže sme evidovali kontinuálne pribúdanie novo registrovaných hráčov.
V hre sme zaznamenali niekoľko pokusov o podvod. Pri jednom z nich registrovaný užívateľ “nasúkal” odpovede v CTF s rozostupom pár desiatok sekúnd. Do budúcich ročníkov si želáme výhradne hráčov, ktorí si ctia pravidlá hry. Jednou zo základných hodnôt, za ktorými si ako organizátori stojíme, je aj fair-play, a každý pokus o podvádzanie sa skončí diskvalifikáciou.
Finále bude obrana bankového sektoru na novej úrovni
Príbeh CoolBank sa pri CTFd nekončí. Finále Guardians posunie tréning obrany bankového sektoru, ale aj akéhokoľvek iného sektoru, na úplne novú úroveň. Finalisti sa stretnú v realistickom wargame simulátore BinConf RANGE, ktorý vyvíja a poskytuje pre široké spektrum klientov spoločnost Binary Confidence Research. Simulátor neponúka iba vyšetrovanie izolovaných úloh, ale komplexnú živú prevádzku. Hráči sa stanú na niekoľko hodín správcami reálnej infrašturkútry, kde bežia systémy plné aktívnych používateľov. Budú dostávať na analýzu reálne logy. Útoky vytvorené podľa reálnych skúseností vo svete sa nebudú diať po jednom, ale paralelne. Presne tak, ako v skutočných podmienkach.
V tomto prostredí už nepôjde len o technickú a vedomostnú zručnosť jednotlivca. Rozhodovať bude najmä tímová spolupráca, prioritizácia incidentov, komunikácia a schopnosť robiť rozhodnutia pod časovým stresom a na základe neúplných informácií. Guardians sa tu definitívne mení z CTF na plnohodnotnú simuláciu kybernetickej obrany.
European Cybersecurity Competence Centre (ECCC) supports this project via grant agreement 101128075
In partnership with
