Kampania APT w baśni pt. „Kot w butach”

Poznajcie naszą kolejną propozycję wykorzystania baśni do wyjaśniania schematów, w jakich działają cyberzagrożenia. Co ciekawe, można o nich podyskutować nie tylko z dziećmi.

Jak wyjaśnić dziecku, co to jest motywowany politycznie atak APT? Odszukaj na półce książkę Charlesa Perraulta pt. Kot w butach i przeczytaj ją, zwracając uwagę na aspekty cyberbezpieczeństwa. W końcu jeśli zignorujemy przywileje artystyczne typu mówiący kot czy obecność ogrów, wspomniana baśń może być doskonałym przykładem skomplikowanego wielowektorowego ataku APT na (fikcyjny) rząd. Poniżej moja propozycja analizy.

Bajka rozpoczyna się od tego, że po śmierci młynarza jego dobytek dziedziczą synowie. Najmłodszy otrzymał udział w spadku w postaci informacji kontaktowych do osoby o pseudonimie Kot w butach, która bez wątpienia jest hakerem do wynajęcia. Jak pewnie pamiętacie, w bajce Shrek 2 ten złotousty kot nosił nie tylko buty firmowane swoją marką, ale także czarny kapelusz. Po krótkiej rozmowie z klientem cyberprzestępca opracowuje nikczemny plan przejęcia władzy w kraju.

Tworzenie łańcucha bloków

1. Kot łapie królika i prezentuje go królowi jako podarunek od swojego szefa — syna młynarza, przedstawianego jako fikcyjny Markiz de Karabasz.

2. Kot łapie dwie przepiórki i dostarcza je królowi jako podarunek od markiza.

3. Kot obdarowuje króla przez kilka miesięcy, a wszystko rzekomo przesyła markiz.

O ile na początku operacji Markiz de Karabasz nie był osobą znaną, pod koniec fazy przygotowawczej jest uważany za zaufanego darczyńcę dzikiej zwierzyny. Królewska służba bezpieczeństwa popełniła co najmniej dwa rażące błędy. Po pierwsze, ochrona powinna była otrzymać informację, że ktoś obcy wysyła podarunki do zamku — w końcu każdy wie, że nie ma czegoś takiego jak darmowy obiad. Po drugie, podczas podpisywania umowy z nowym dostawcą pierwszą rzeczą, jaka należy zrobić, jest sprawdzenie jego reputacji.

Socjotechnika otwiera drzwi

4. Następnie kot zabiera swojego „szefa” nad rzekę, gdzie namawia go do zażycia kąpieli. Gdy przejeżdża powóz króla, kot prosi o pomoc, mówiąc, że ubrania markiza zostały skradzione, gdy pływał.

Kto twierdzi, że młody mężczyzna nie jest osobą obcą, lecz zaufanym dostawcą podarunków. Fałszywy markiz nie może potwierdzić swojej tożsamości (autoryzować się), ponieważ nie ma (rzekomo skradzionych) ubrań. Król nabiera się na tę prostą sztuczkę i bierze fałszywą tożsamość za oryginał. To klasyczny przykład socjotechniki.

Atak metodą wodopoju kontra strona internetowa ogra

5. Kot przybywa do zamku ogra, gdzie jest przyjmowany jak gość honorowy. Prosi gospodarza, aby zademonstrował swoje magiczne umiejętności. Ogr zamienia się we lwa. Jednak kot twierdzi, że każdy może zamienić się w większą bestię — i proponuje zmianę w coś mniejszego. Naiwny ogr zamienia się w mysz, której żywot szybko dobiega końca za sprawą kocich pazurów.

Aby dokończyć oszustwo, markiz potrzebuje strony internetowej — przecież każdy dostawca ją ma. Tworzenie strony od początku byłoby głupotą: nie miałaby ona historii, a data jej powstania wzbudzałaby podejrzenia. Dlatego postanawia przechwycić istniejącą. Tu Perrault subtelnie nakreśla lukę skutkującą utratą uprawnień dostępowych: kot loguje się jako zewnętrzny pentester i przekonuje lokalnego administratora, aby wprowadził zmiany w systemie kontroli dostępu. Administrator najpierw zwiększa własne uprawnienia jako root (lew), a następnie obniża je do poziomu gościa (mysz). Wówczas kot usuwa konto z uprawnieniami „myszy”, stając się w efekcie administratorem strony internetowej.

6. Na zamek przybywa król, który jest tak mile zaskoczony serdecznym przyjęciem go, że dochodzi do wniosku, że markiz będzie dobrym wyborem na zięcia. Proponuje mu więc zostanie spadkobiercą tronu.

Taka sytuacja ma miejsce, gdy socjotechnika działa zgodnie z planem. Ofiara odwiedza szkodliwą już stronę internetową i dobija interesu, dając hakerowi dostęp do cennych aktywów (w tym przypadku tronu). Oczywiście dzieje się to niebezpośrednio — tu chodzi o wydanie córki za mąż za fałszywego markiza.

Ata na łańcuch dostaw

Chociaż w bajce Perraulta nie jest to wspomniane, ale jeśli czytasz uważnie, zauważysz, że pod koniec historii Markiz de Karabasz:

  • jest zaufanym dostawcą króla — to efekt dostarczania dzikiej zwierzyny na stół monarchy przez kilka miesięcy, i
  • jest mężem jedynej córki króla.

Od nieograniczonej mocy dzieli  go tylko starszy człowiek zasiadający na tronie. W zasadzie, aby zostać władcą absolutnym, musi jedynie wstrzyknąć śmiertelny wirus w kod następnej przepiórki, a później cierpliwie czekać.

Poczta głosowa jako wabik

Niedawno śledziliśmy zakrojoną na szeroką skalę kampanię spamową, w której oszuści wysyłają wiadomości e-mail, które wyglądają jak powiadomienia z poczty. Przytoczony przez wiadomość fragment pierwszego zdania zwiększa zainteresowanie ofiary i szanse kliknięcia łącza.

Porady