15 октября 2019

APT-кампания “Кот-В-Сапогах”

Enterprise SMB Бизнес

Вы когда-нибудь задумывались, что вы будете отвечать, когда к вам придет ребенок и спросит: «Папа, мама, а что такое APT-атака, преследующая цели политического характера?». На самом деле все легко. Нужно просто… достать из шкафа книгу Шарля Перро «Кот в Сапогах» и прочитать ее, уделяя внимание аспектам кибербезопасности. Ведь, по сути, если отбросить явные художественные преувеличения вроде говорящего кота, это отличный пример сложной мультивекторной APT-атаки на правительство вымышленной страны. Давайте разберем все детали этого киберпреступления вместе.

Итак, мельник после своей смерти оставил сыновьям наследство, и младшему достались контакты наемного хакера, выступающего под псевдонимом «Кот в сапогах». Не даром в мультипликационном фильме «Шрек» кот изображается не только в сапогах, но и в Черной шляпе. После непродолжительного общения с заказчиком этот злоумышленник незамедлительно приступает к реализации коварного плана, цель которого – захват власти в стране.

Установление цепи поставок

  1. Кот ловит кролика и доставляет его ко двору, якобы от маркиза де Карабаса.
  2. Кот ловит двух куропаток и доставляет их ко двору, якобы от того же Маркиза.
  3. От имени де Карабаса кот несколько месяцев снабжает короля различной дичью.

Если в начале операции Маркиз де Карабас был никем, то по завершении фазы подготовки, он уже известен при дворе как доверенный поставщик дичи. Тут налицо как минимум две ошибки королевской службы безопасности. Во-первых, при дворе должны были бы насторожиться, когда неизвестно кто начал присылать в замок дичь. Понятно же, что без задней мысли вам никто ничего просто так не пришлет — он ищет какую-то выгоду. Во-вторых, при заключении договора с новым поставщиком первым делом надо проверять его репутацию.

Социальная инженерия с целью втереться в доверие

Далее кот выбирает удобный момент, загоняет хозяина в реку, тормозит карету и начинает рассказывать королю байки о том, что это несчастный маркиз де Карабас, которого ограбили злодеи.

По сути Кот сразу применяет два рычага: говорит, что мокрый юноша — не чужой человек, а доверенный поставщик дичи, кроме того, в данный момент он нуждается в помощи, а вам-то он бескорыстно помогал. Авторизоваться он не может (у него украли одежду, которая по тем временам вполне могла играть роль одного из факторов авторизации — по крайней мере подтверждала состоятельность владельца). И король ведется на этот несложный трюк, принимая фальшивую личность за настоящую. Социальная инженерия срабатывает.

Watering hole attack через сайт людоеда

Кот приезжает в замок к людоеду, его принимают как почетного гостя, после чего он просит хозяина замка продемонстрировать свое магическое мастерство. Людоед превращается во льва, кот изображает испуг, а потом говорит, что в большого зверя превратиться может каждый. А вот попробуй в маленького? Людоед превращается в мышь и гибнет от когтистых лап в сапогах.

Для полноты картины Карабасу был необходим сайт – какой поставщик без сайта? Создавать сайт с нуля было бы крайне неосторожно: у него бы не было истории, да и дата создания могла навести на размышления. Поэтому он решает захватить популярный ресурс людоеда. Тут у Перро описана какая-то достаточно мутная уязвимость с гуляющими правами. Похоже, что кот логинится как внешний пентестер и начинает обсуждать с местным администратором его систему предоставления прав. В результате админ сначала повышает свои привилегии до рута (лев), а потом понижает до гостя (мышь). После этого кот удаляет учетную запись с правами «мышь» и фактически становится единственным администратором сайта.

Король заходит на уже вредоносный сайт и там заключает сделку, в результате которой права на трон переходят к абсолютному проходимцу. Ну да, не сразу, конечно, — но он выдает дочь за Карабаса, и тот становится наследником престола.

Атака через цепочку поставок

Этого в тексте у Перро нет. Но если вы внимательно следили за развитием событий, то наверняка заметили, что на момент конца сказки:

  1. Маркиз де Карабас является доверенным поставщиком короля. Он уже несколько месяцев поставляет дичь к столу монарха.
  2. Он муж единственной дочери короля. Все, что его отделяет от неограниченной власти, — это старик на троне.

По сути, все, что ему остается, это однажды внести небольшое изменение в код очередной куропатки и заразить ее вирусом пострашнее.