APT

A Campanha de APT “O Gato de Botas”

Charles Perrault explica como hackers contratados usam engenharia social e ataques “watering hole” com intenções políticas.

Nikolay Pankov
24 out 2019

Você já pensou qual seria sua resposta se seu filho precoce perguntasse: “O que é um ataque APT de motivação política?” Esse cenário é no mínimo curioso. Então, tire a poeira da sua cópia do clássico de Charles Perrault “O Gato de Botas” e leia atento aos aspectos de cibersegurança. Afinal, se ignorarmos as liberdades artísticas, como um gato falante e ogros, o conto representa um maravilhoso exemplo de um complexo ataque APT multivetorial contra um governo (fictício). Vamos desfazer esse cibercrime juntos.
O conto começa com um moleiro deixando tudo para seus filhos. A parte da herança do filho mais novo inclui os contatos detalhados de uma pessoa que usa o pseudônimo de Gato de Botas e é obviamente um hacker de aluguel – como você deve se lembrar, no Shrek 2, esse personagem não usa apenas suas botas como marca registrada, mas também um chapéu preto. Após uma breve troca de informações com o cliente, o cibercriminoso traça um plano covarde que visa tomar o poder no país.

Estabelecendo a cadeia de suprimentos

O gato pega um coelho e o apresenta ao rei como um presente de seu mestre – o filho do moleiro, posando como o fictício marquês de Carabás.
O gato pega duas perdizes e as entrega ao rei como presente do marquês.
O gato continua apresentando caça selvagem ao rei por vários meses, todas supostamente do marquês.

Se no início da operação o marquês de Carabás não era ninguém, no final da fase preparatória, já era conhecido na corte como um fornecedor confiável de caça selvagem. O serviço real de segurança cometeu pelo menos dois erros gritantes. Primeiro, a segurança deveria ter se tornado cautelosa quando uma entidade desconhecida começou a enviar a caça para o castelo. Afinal, todo mundo sabe que não existe almoço grátis. Segundo, ao fazer um acordo com um novo fornecedor, a primeira coisa a fazer é verificar sua reputação.

Engenharia social para abrir a porta

Em seguida, o gato leva seu “mestre” para o rio, onde o convence a tirar a roupa e entrar na água. Quando a carruagem do rei passa, o gato pede ajuda, dizendo que as roupas do marquês foram roubadas enquanto ele estava nadando.

O gato consegue duas coisas. Por um lado, alegando que o jovem molhado não é um estranho, mas um fornecedor confiável de caça selvagem, e que, tendo ajudado desinteressadamente, o gato agora precisa de ajuda. O falso marquês não pode se identificar (ou autenticar) sem suas roupas roubadas. O rei é pego nesse truque simples, confundindo uma identidade falsa com uma genuína. É um exemplo clássico de engenharia social.

**Ataque watering hole via site do ogro**

O gato chega ao castelo do ogro, onde é recebido como convidado de honra e pede ao seu anfitrião que demonstre suas habilidades mágicas. Lisonjeado, o ogro se transforma em leão. Fingindo ter medo, o gato diz que qualquer um pode se transformar em um animal grande – que tal transformar um animal pequeno? O ingênuo ogro se transforma em um rato e as garras do gato encerram sua vida rapidamente.

Para concluir a estratégia, o marquês precisa de um site – que tipo de fornecedor não possui um? Criar um site a partir do zero seria imprudente: não teria histórico e sua data de criação pareceria suspeita. Portanto, ele decide sequestrar um site existente. Aqui, Perrault esboça vagamente uma vulnerabilidade que envolve permissões de acesso. O gato efetua login como uma prova de penetração e convence o administrador local a brincar com o sistema de controle de acesso. O administrador primeiro aumenta seus próprios privilégios para “root” (leão) e depois os reduz para “convidados” (rato). Assim que isso acontece, o gato exclui a conta com permissões de “rato”, tornando-se efetivamente o único administrador do site.

O rei visita o castelo e fica tão satisfeito com a recepção que decide que o marquês é um bom marido para a princesa e, assim, propõe convidá-lo à corte e torná-lo herdeiro do trono.

É o que acontece quando a engenharia social funciona como previsto. A vítima visita o site (agora malicioso) e conclui um acordo, dando ao hacker acesso a ativos valiosos (neste caso, o trono). Não diretamente, é claro – aqui ele entrega sua filha em casamento ao falso marquês.

Ataque da cadeia de suprimentos

O texto de Perrault não menciona essa parte, mas se você estiver prestando atenção, provavelmente notou que, no final da história, o marquês de Carabás:

É o fornecedor de confiança do rei – distribui caça selvagem para a mesa do monarca há vários meses, e
é o marido da única filha do rei.

Tudo o que o separa do poder ilimitado é o velho no trono. Basicamente, para se tornar um herdeiro ao trono, tudo o que ele precisa fazer é injetar um vírus letal no código da próxima perdiz, depois sentar e esperar.

Aprendizado de máquina usado em novo golpe

Cibercriminosos imitaram a voz de um CEO, ordenando que outro executivo transferisse 20 mil euros para uma conta externa.

FERRAMENTAS GRATUITAS

A Campanha de APT “O Gato de Botas”

Estabelecendo a cadeia de suprimentos

Engenharia social para abrir a porta

**Ataque watering hole via site do ogro**

Ataque da cadeia de suprimentos

Nossas principais pesquisas na Security Analyst Summit 2023

Como acontece o implante do spyware usado na Operação Triangulação

Aprendizado de máquina usado em novo golpe

Dicas

É seguro tirar uma selfie com um documento de identidade?

Cinquenta tons de “sextorsão”

Quando você recebe um código de login para uma conta que não é sua

Assinatura ou travessura? Gerencie suas assinaturas com facilidade

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog