{"id":18129,"date":"2019-10-17T08:33:17","date_gmt":"2019-10-17T06:33:17","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=18129"},"modified":"2019-11-22T10:45:50","modified_gmt":"2019-11-22T08:45:50","slug":"operation-puss-in-boots","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/operation-puss-in-boots\/18129\/","title":{"rendered":"“Il gatto con gli stivali”: un esempio di campagna APT"},"content":{"rendered":"

Avete mai pensato a quale sarebbe la vostra risposta se vostro figlio vi chiedesse: “Che cos’\u00e8 un attacco APT a sfondo politico?” In realt\u00e0 \u00e8 molto semplice. Basta riaprire Il gatto con gli stivali<\/em> di Charles Perrault e leggere il racconto insieme con un occhio rivolto agli aspetti della sicurezza informatica. Dopotutto, se ignoriamo le licenze letterarie come un gatto parlante e gli orchi, la fiaba \u00e8 un esempio meraviglioso di un complesso attacco APT multivettore contro un governo (fittizio). Risolviamo insieme questo cybercrimine.<\/p>\n

La storia inizia con un mugnaio che lascia un’eredit\u00e0 ai suoi figli. La parte di eredit\u00e0 del figlio pi\u00f9 giovane include i dati di contatto di una persona che si fa chiamare Il gatto con gli stivali ed \u00e8 ovviamente un hacker mercenario. Come ricorderete, in Shrek 2<\/em> questo loquace gatto non solo indossa i suoi stivali di marca, ma anche un cappello nero <\/em>(un black hat, avete colto il riferimento?). Dopo un breve scambio con il cliente, il cybercriminale elabora un vile piano per prendere le redini del paese.<\/p>\n

Creare la supply chain<\/h2>\n
    \n
  1. Il gatto cattura un coniglio e lo porta al re come dono del suo padrone, il figlio del mugnaio, che si spaccia per il Marchese de Carabas;<\/li>\n
  2. Il gatto cattura due pernici e le consegna al re come dono del marchese;<\/li>\n
  3. Il gatto continua a portare la selvaggina al re per diversi mesi, il tutto presumibilmente da parte del marchese.<\/li>\n<\/ol>\n

    Se all’inizio dell’operazione, il marchese de Carabas non era nessuno, alla fine della fase preparatoria \u00e8 conosciuto a corte come un affidabile fornitore di selvaggina. Il servizio di sicurezza reale ha commesso almeno due clamorosi errori. In primo luogo, la sicurezza avrebbe dovuto insospettirsi quando un’entit\u00e0 sconosciuta ha iniziato a portare della selvaggina al castello. Dopotutto, niente attira di pi\u00f9 di un pranzo gratis. In secondo luogo, quando si stipula un accordo con un nuovo fornitore, la prima cosa da fare \u00e8 controllare la sua reputazione.<\/p>\n

    L’ingegneria sociale che apre le porte<\/h2>\n
      \n
    1. Successivamente, il gatto porta il suo “padrone” al fiume, dove lo convince a togliersi i vestiti e a entrare in acqua. Mentre passa la carrozza del re, il gatto chiede aiuto dicendo che i vestiti del marchese sono stati rubati mentre nuotava.<\/li>\n<\/ol>\n

      Il gatto utilizza due punti di leva contemporaneamente: sostiene che il giovane bagnato non \u00e8 uno sconosciuto, ma un fornitore di fiducia di selvaggina e che, dopo aver dato il suo aiuto altruisticamente, il gatto ora ha bisogno di aiuto. Il falso marchese non pu\u00f2 identificarsi (o autenticarsi) senza i suoi vestiti rubati. Il re viene ingannato da questo semplice trucco, scambiando una falsa identit\u00e0 per l’articolo vero e proprio. \u00c8 un classico esempio di ingegneria sociale.<\/p>\n

      Attacco watering hole attraverso il sito dell’orco<\/h2>\n
        \n
      1. Il gatto arriva al castello dell’orco, dove viene accolto come ospite d’onore e chiede all’orco di dimostrare le sue doti magiche. Lusingato, l’orco si trasforma in un leone. Fingendo di avere paura, il gatto dice che chiunque pu\u00f2 trasformarsi in una grande bestia, sfidandolo a trasformarsi in una pi\u00f9 piccola. L’orco, ingenuo, si trasforma in un topo e gli artigli del gatto mettono rapidamente fine alla sua vita.<\/li>\n<\/ol>\n

        Per completare l’inganno, il marchese ha bisogno di un sito. Che tipo di fornitore non ne ha uno? Creare un sito da zero sarebbe poco intelligente: non avrebbe storia e la sua data di creazione sembrerebbe sospetta. Pertanto, decide di sabotare un sito esistente. Qui Perrault accenna vagamente a una vulnerabilit\u00e0 riguardante la perdita di autorizzazioni di accesso. Il gatto si collega come pen-tester esterno e convince l’amministratore locale a farlo giocare con il sistema di controllo di accesso. L’amministratore prima eleva i suoi privilegi a quelli di root (leone) e diminuisce quelli dell’ospite (topo) Non appena ci\u00f2 accade, il gatto cancella l’account con i permessi di “topo”, diventando di fatto l’unico amministratore del sito.<\/p>\n

          \n
        1. Il re visita il castello ed \u00e8 cos\u00ec soddisfatto dell’accoglienza da decidere che il marchese pu\u00f2 essere un buon marito per la principessa. Propone quindi di invitarlo a corte e di farlo diventare erede al trono.<\/li>\n<\/ol>\n

          Questo \u00e8 ci\u00f2 che accade quando l’ingegneria sociale funziona come previsto. La vittima visita il sito ormai dannoso e vi conclude un accordo, dando all’hacker l’accesso a beni di valore (in questo caso, il trono). Indirettamente, qui si tratta di dare sua figlia in sposa al falso marchese.<\/p>\n

          Attacco alla supply chain<\/h2>\n

          Il testo di Perrault non menziona questa parte ma, se ci avete fatto caso, probabilmente avrete notato che alla fine della storia il Marchese de Carabas:<\/p>\n

          a) \u00e8 il fornitore di fiducia del re, ha fornito selvaggina per la tavola del monarca per diversi mesi, e<\/p>\n

          b) \u00e8 il marito dell’unica figlia del re.<\/p>\n

          Tutto ci\u00f2 che lo separa dal potere eterno \u00e8 l’anziano signore sul trono. Fondamentalmente, per diventare un sovrano assoluto, tutto quello che deve fare \u00e8 iniettare qualche virus mortale nel codice della prossima pernice, poi sedersi e aspettare.<\/p>\n","protected":false},"excerpt":{"rendered":"

          Charles Perrault spiega in che modo gli hacker utilizzano l\u2019ingegneria sociale e gli attacchi watering hole per scopi politici.<\/p>\n","protected":false},"author":700,"featured_media":18130,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2641,2956],"tags":[592,3195,874,3206,638,3076,840],"class_list":{"0":"post-18129","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-threats","10":"category-smb","11":"tag-apt","12":"tag-fiabe","13":"tag-ingegneria-sociale","14":"tag-kids","15":"tag-minacce","16":"tag-supply-chain","17":"tag-watering-hole"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/operation-puss-in-boots\/18129\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/operation-puss-in-boots\/16781\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/operation-puss-in-boots\/14170\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/operation-puss-in-boots\/18768\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/operation-puss-in-boots\/16815\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/operation-puss-in-boots\/15560\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/operation-puss-in-boots\/19468\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/operation-puss-in-boots\/23771\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/operation-puss-in-boots\/6553\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/operation-puss-in-boots\/28963\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/operation-puss-in-boots\/12415\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/operation-puss-in-boots\/12466\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/operation-puss-in-boots\/11331\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/operation-puss-in-boots\/20371\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/operation-puss-in-boots\/24354\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/operation-puss-in-boots\/24789\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/operation-puss-in-boots\/19234\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/operation-puss-in-boots\/23550\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/operation-puss-in-boots\/23400\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/minacce\/","name":"minacce"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/18129","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=18129"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/18129\/revisions"}],"predecessor-version":[{"id":18368,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/18129\/revisions\/18368"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/18130"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=18129"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=18129"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=18129"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}