APT-campagne “De gelaarsde kat”

Charles Perrault legt uit hoe ingehuurde hackers gebruikmaken van social engineering en watering hole-aanvallen voor politieke doeleinden.

Hebt u ooit nagedacht over wat uw antwoord zou zijn als uw vroegvolwassen kind zou vragen: “Wat is een politiek gemotiveerde APT-aanval?” Dit is eigenlijk heel eenvoudig. Stof uw kopie van De gelaarsde kat van Charles Perrault af en lees dit verhaal samen, terwijl u een oog houdt op de cybersecurity-aspecten van het sprookje. Als we de artistieke vrijheid namelijk negeren, zoals een pratende kat en ogers, vertegenwoordigt dit verhaal een geweldig voorbeeld van een complexe multivector-APT-aanval op een (fictieve) regering. Laten we deze cybermisdaad samen eens ontrafelen.

Het verhaal begint met een molenaar die na zijn dood alles aan zijn zonen achterlaat. De erfenis van de jongste zoon omvat de contactgegevens van een persoon die achter het pseudoniem De gelaarsde kat schuilgaat en is overduidelijk een in te huren hacker — en zoals u vast nog weet uit Shrek 2, draagt deze welbespraakte kat niet alleen zijn kenmerkende laarzen, maar ook een zwarte hoed. Na een korte uitwisseling met de klant, bedenkt de cybercrimineel een lafhartig plan om de macht in het land over te nemen.

Het vaststellen van de toeleveringsketen

  1. De kat vangt een konijn en presenteert deze aan de koning als geschenk van zijn meester — de molenaarszoon, die zich voordoet als de fictionele Markies van Carabas.
  2. De kat vangt twee patrijzen en brengt ook deze naar de koning als geschenk van de markies.
  3. De kat blijft gedurende een paar maanden wild naar de koning brengen, allemaal zogenaamd van de markies afkomstig.

Als de Markies van Carabas aan het begin van de operatie een nobody was, dan is hij aan het einde van de voorbereidingsfase bekend aan het hof als een vertrouwde leverancier van wild. De koninklijke beveiligingsdienst liet op zijn minst twee ernstige fouten toe. Ten eerste had de beveiliging al achterdochtig moeten worden toen een onbekend iemand wild naar het kasteel begon te sturen. Iedereen weet immers dat er niet zoiets bestaat als een gratis lunch. Ten tweede hadden ze vóór ze tot een akkoord kwamen met de nieuwe leverancier zijn reputatie moeten verifiëren.

Social engineering om deuren te openen

  1. Vervolgens brengt de kat zijn “meester” naar de rivier, waar hij hem overhaalt om zich uit te kleden en het water in te gaan. Als het rijtuig van de koning langsrijdt, vraagt de kat om hulp en zegt hij dat de kleren van de markies zijn gestolen terwijl hij aan het zwemmen was.

De kat past hier twee pressiemiddelen tegelijk toe door te zeggen dat de natte jongeman geen vreemdeling is maar een vertrouwde wildleverancier, en dat hij nu, nadat hij zelf onzelfzuchtig geholpen heeft, assistentie nodig heeft. De nepmarkies kan zichzelf niet identificeren (of authentiseren) zonder zijn gestolen kleren. De koning trapt in deze simpele list, en ziet de valse identiteit onterecht aan voor een echte markies. Dit is een klassiek voorbeeld van social engineering.

Watering hole-aanval via de website van de oger.

  1. De kat komt aan bij het kasteel van de oger, waar hij wordt ontvangen als een geëerde gast, en vraagt zijn gastheer om zijn magische krachten te laten zien. De oger verandert zichzelf vereerd in een leeuw. De kat doet net alsof hij bang is en zegt dat iedereen zichzelf wel in een groot beest kan omtoveren — maar wat dacht hij van een klein dier? De goedgelovige oger verandert in een muis, en de klauwen van de kat maken snel een einde aan zijn leven.

Om het bedrog af te maken, heeft de markies een website nodig — wat voor leverancier heeft nou geen website? Om vanuit het niets een website te maken zou roekeloos zijn: de website zou geen geschiedenis hebben en de aanmaakdatum zou verdacht zijn. Daarom besluit hij om een bestaande website te hijacken. Hier schetst Perrault vaag een zwakke plek die betrekking heeft tot losse toegangsrechten. De kat logt in als een externe pentester en overtuigt de lokale administrator om wat te rommelen met het toegangscontrolesysteem. De administrator verhoogt eerst zijn eigen rechten tot root (leeuw), en verlaagt ze vervolgens tot gast (muis). Zodra dat gebeurt, verwijdert de kat het account met de “muis”-rechten, en wordt op deze manier de enige administrator van de website.

  1. De koning bezoekt het kasteel en is zo blij met zijn ontvangst dat hij besluit dat de markies een goede partner is voor de prinses, en nodigt hem daarom aan het hof uit en maakt hem tot troonopvolger.

Dit is wat er gebeurt als social engineering werkt zoals bedoeld was. Het slachtoffer bezoekt de inmiddels schadelijke website en sluit daar een deal, waardoor de hacker toegang krijgt tot waardevolle bezittingen (in dit geval de troon). Niet direct, natuurlijk — in dit geval gebeurt dit door zijn dochter in het huwelijk te laten treden met de nepmarkies.

Supply-chain-aanval

De tekst van Perrault vertelt niets over dit gedeelte, maar als u goed oplet, ziet u waarschijnlijk dat de Markies van Carabas aan het einde van het verhaal

  1. de vertrouwde leverancier van de koning is — hij verzorgde immers gedurende maanden het wild voor de dinertafel van de monarch, en
  2. is de echtgenoot van de enige dochter van de koning.

Het enige dat hem nog van onbeperkte macht scheidt, is de oude man op de troon. Om alleenheerser te worden, hoeft hij alleen nog een dodelijk virus in de code van de volgende patrijs te injecteren, en vervolgens kan hij rustig afwachten.

Tips