“Il gatto con gli stivali”: un esempio di campagna APT

Charles Perrault spiega in che modo gli hacker utilizzano l’ingegneria sociale e gli attacchi watering hole per scopi politici.

Avete mai pensato a quale sarebbe la vostra risposta se vostro figlio vi chiedesse: “Che cos’è un attacco APT a sfondo politico?” In realtà è molto semplice. Basta riaprire Il gatto con gli stivali di Charles Perrault e leggere il racconto insieme con un occhio rivolto agli aspetti della sicurezza informatica. Dopotutto, se ignoriamo le licenze letterarie come un gatto parlante e gli orchi, la fiaba è un esempio meraviglioso di un complesso attacco APT multivettore contro un governo (fittizio). Risolviamo insieme questo cybercrimine.

La storia inizia con un mugnaio che lascia un’eredità ai suoi figli. La parte di eredità del figlio più giovane include i dati di contatto di una persona che si fa chiamare Il gatto con gli stivali ed è ovviamente un hacker mercenario. Come ricorderete, in Shrek 2 questo loquace gatto non solo indossa i suoi stivali di marca, ma anche un cappello nero (un black hat, avete colto il riferimento?). Dopo un breve scambio con il cliente, il cybercriminale elabora un vile piano per prendere le redini del paese.

Creare la supply chain

  1. Il gatto cattura un coniglio e lo porta al re come dono del suo padrone, il figlio del mugnaio, che si spaccia per il Marchese de Carabas;
  2. Il gatto cattura due pernici e le consegna al re come dono del marchese;
  3. Il gatto continua a portare la selvaggina al re per diversi mesi, il tutto presumibilmente da parte del marchese.

Se all’inizio dell’operazione, il marchese de Carabas non era nessuno, alla fine della fase preparatoria è conosciuto a corte come un affidabile fornitore di selvaggina. Il servizio di sicurezza reale ha commesso almeno due clamorosi errori. In primo luogo, la sicurezza avrebbe dovuto insospettirsi quando un’entità sconosciuta ha iniziato a portare della selvaggina al castello. Dopotutto, niente attira di più di un pranzo gratis. In secondo luogo, quando si stipula un accordo con un nuovo fornitore, la prima cosa da fare è controllare la sua reputazione.

L’ingegneria sociale che apre le porte

  1. Successivamente, il gatto porta il suo “padrone” al fiume, dove lo convince a togliersi i vestiti e a entrare in acqua. Mentre passa la carrozza del re, il gatto chiede aiuto dicendo che i vestiti del marchese sono stati rubati mentre nuotava.

Il gatto utilizza due punti di leva contemporaneamente: sostiene che il giovane bagnato non è uno sconosciuto, ma un fornitore di fiducia di selvaggina e che, dopo aver dato il suo aiuto altruisticamente, il gatto ora ha bisogno di aiuto. Il falso marchese non può identificarsi (o autenticarsi) senza i suoi vestiti rubati. Il re viene ingannato da questo semplice trucco, scambiando una falsa identità per l’articolo vero e proprio. È un classico esempio di ingegneria sociale.

Attacco watering hole attraverso il sito dell’orco

  1. Il gatto arriva al castello dell’orco, dove viene accolto come ospite d’onore e chiede all’orco di dimostrare le sue doti magiche. Lusingato, l’orco si trasforma in un leone. Fingendo di avere paura, il gatto dice che chiunque può trasformarsi in una grande bestia, sfidandolo a trasformarsi in una più piccola. L’orco, ingenuo, si trasforma in un topo e gli artigli del gatto mettono rapidamente fine alla sua vita.

Per completare l’inganno, il marchese ha bisogno di un sito. Che tipo di fornitore non ne ha uno? Creare un sito da zero sarebbe poco intelligente: non avrebbe storia e la sua data di creazione sembrerebbe sospetta. Pertanto, decide di sabotare un sito esistente. Qui Perrault accenna vagamente a una vulnerabilità riguardante la perdita di autorizzazioni di accesso. Il gatto si collega come pen-tester esterno e convince l’amministratore locale a farlo giocare con il sistema di controllo di accesso. L’amministratore prima eleva i suoi privilegi a quelli di root (leone) e diminuisce quelli dell’ospite (topo) Non appena ciò accade, il gatto cancella l’account con i permessi di “topo”, diventando di fatto l’unico amministratore del sito.

  1. Il re visita il castello ed è così soddisfatto dell’accoglienza da decidere che il marchese può essere un buon marito per la principessa. Propone quindi di invitarlo a corte e di farlo diventare erede al trono.

Questo è ciò che accade quando l’ingegneria sociale funziona come previsto. La vittima visita il sito ormai dannoso e vi conclude un accordo, dando all’hacker l’accesso a beni di valore (in questo caso, il trono). Indirettamente, qui si tratta di dare sua figlia in sposa al falso marchese.

Attacco alla supply chain

Il testo di Perrault non menziona questa parte ma, se ci avete fatto caso, probabilmente avrete notato che alla fine della storia il Marchese de Carabas:

a) è il fornitore di fiducia del re, ha fornito selvaggina per la tavola del monarca per diversi mesi, e

b) è il marito dell’unica figlia del re.

Tutto ciò che lo separa dal potere eterno è l’anziano signore sul trono. Fondamentalmente, per diventare un sovrano assoluto, tutto quello che deve fare è iniettare qualche virus mortale nel codice della prossima pernice, poi sedersi e aspettare.

Consigli