La campaña APT de El gato con botas

17 Oct 2019

Alguna vez te has planteado qué le responderías a tu hijo si te preguntara “¿Qué es un ataque de APT con motivaciones políticas?”. Y esto, en realidad, es que es muy sencillo; simplemente tienes que desempolvar el cuento de El gato con botas de Charles Perrault y leerlo juntos con la vista puesta en los aspectos de ciberseguridad. Después de todo, si ignoramos las libertades artísticas, como los ogros o el hecho de que el gato hable, el cuento representa un ejemplo estupendo de un ataque de APT complejo de múltiples vectores contra un gobierno (ficticio). A continuación, vamos a desmantelar este cibercrimen juntos.

Al principio del cuento, un molinero muere y deja todo lo que tiene a sus hijos. En la parte de la herencia del pequeño aparece la información de contacto de una persona conocida bajo el seudónimo de El gato con botas y que, evidentemente, es un cibercriminal por encargo; como recordarás, en Shrek 2, este elocuente gato no solo lleva sus características botas, sino también un sombrero negro. Tras un breve intercambio de opiniones con el cliente, el cibercriminal idea un plan artero para tomar el poder del país.

El establecimiento de la cadena de suministro

  1. El gato atrapa un conejo y lo presenta al rey como obsequio de su amo, el hijo del molinero, aunque lo hace pasar por el Marqués de Carabás.
  2. El gato caza dos perdices y se las entrega al rey como obsequio del marqués.
  3. El gato sigue ofreciendo sus presas al rey durante varios meses, siempre supuestamente de parte del marqués.

Si al principio el Marqués de Carabás no era nadie, al final de la fase preparatoria ya se le conoce en la corte como un proveedor de confianza de caza salvaje. El servicio de seguridad real cometió al menos dos errores evidentes. En primer lugar, el cuerpo de seguridad debería haber sospechado cuando una entidad desconocida comenzó a enviar su caza al castillo. Después de todo, todo el mundo sabe que nadie da algo sin esperar nada a cambio. Y, en segundo lugar, cuando se llega a un acuerdo con un nuevo proveedor, lo primero es comprobar su reputación.

Ingeniería social para abrir la puerta

  1. Después, el gato lleva a su “amo” al río, donde lo convence para que se quite la ropa y se meta al agua. Entonces pasa el carruaje del rey y el gato pide ayuda, afirmando que alguien ha robado la ropa del marqués mientras este se bañaba.

Aquí el gato consigue dos cosas: por un lado, afirmar que el joven no es un desconocido, sino un proveedor de presas salvajes de confianza; y por otro que, después de haber ofrecido su ayuda de forma desinteresada, ahora es él quien la necesita. El supuesto marqués no puede identificarse (ni autentificarse) sin su ropa. El rey cae en este simple truco, dando por auténtica una identidad falsa. Estamos ante un ejemplo clásico de ingeniería social.

Un ataque watering hole mediante el sitio web del ogro

  1. El gato llega al castillo del ogro, donde se le recibe como un invitado de honor, y pide a su anfitrión que le demuestre sus habilidades mágicas. Halagado, el ogro se convierte en un león y, haciéndose el asustado, el gato le dice que cualquiera podría transformarse en una bestia, ¿por qué no lo intentaba con un animal más pequeño? Entonces el ogro se convierte en un ratón y las zarpas del gato acaban con su vida rápidamente.

Para completar la estrategia, el marqués necesita un sitio web, ¿qué proveedor no tiene uno? Crear un sitio de cero podría ser imprudente: no tendría un historial y su fecha de creación parecería sospechosa. Por tanto, decide secuestrar un sitio ya existente. Aquí Perrault esboza una vulnerabilidad que supone la pérdida de los permisos de acceso. El gato inicia sesión como una prueba de penetración y convence al administrador local para juguetear con el sistema de control de acceso. Primero el administrador eleva sus propios privilegios a nivel root (león) y degrada aquellos de los invitados (ratón). Entonces el gato elimina la cuenta con los permisos del “ratón” y se convierte en el único administrador del sitio web.

  1. El rey visita el castillo y queda tan satisfecho con el recibimiento que decide que el marqués sería un buen marido para la princesa y, por tanto, le invita a la corte y a convertirse en el futuro heredero del trono.

Esto es lo que sucede cuando la ingeniería social funciona como estaba pensado. La víctima visita el sitio web malicioso y llega a un acuerdo, concediendo acceso al cibercriminal a activos de valor (en este caso, el trono). Evidentemente, aunque no es de forma directa, aquí se consigue ofreciendo la mano de su hija al falso marqués.

Ataque de cadena de suministro

El cuento de Perrault no menciona esta parte, pero si prestas atención, verás que al final del cuento, el Marqués de Carabás:

  1. es el proveedor de confianza del rey, ya que le ha estado sirviendo caza salvaje durante varios meses, y
  2. es el marido de la única hija del rey.

Todo lo que le separa de un poder sin límites es el hombre que hay sentado en el trono. En resumen, para convertirse el gobernador, solo tiene que inyectar un virus letal en el código de la siguiente perdiz, sentarse y esperar.