APT-Kampagne „Der gestiefelte Kater“

Charles Perrault erklärt, wie engagierte Hacker Social Engineering und Watering-Hole-Angriffe für politische Zwecke verwenden können.

Haben Sie jemals darüber nachgedacht, wie Ihre Antwort lauten würde, wenn Ihr frühreifes Kind Sie nach der Bedeutung eines politisch motivierten APT-Angriffs fragen würde? Die Antwort ist im Grunde genommen ganz einfach, denn Sie müssen lediglich das Märchen „Der gestiefelte Kater“ von Charles Perrault aus Ihrem Bücherregal holen und ihm eine cybersicherheitstechnische Neuinterpretation verleihen. Wenn wir die künstlerischen Freiheiten wie beispielsweisen einen sprechenden Kater ignorieren, ist die Geschichte ein wunderbares Beispiel für einen komplexen Multivektor-APT-Angriff auf eine (fiktive) Regierung.

Die Geschichte beginnt mit einem Müller, der seinen drei Söhnen nach seinem Tod sein gesamtes Hab und Gut überlässt. Der Erbanteil des jüngsten Sohnes umfasst die Kontaktdaten einer Person, die unter dem Pseudonym „Der gestiefelte Kater“ bekannt ist und offensichtlich als Hacker engagiert wurde. Vielleicht erinnern Sie sich daran, dass dieser sprachgewandte Kater in Shrek 2 nicht nur sein Markenzeichen, die Stiefel, sondern auch einen schwarzen Hut (Black Hat) trägt. Nach einem kurzen Austausch mit dem Kunden feilt der Cyberkriminelle einen abscheulichen Plan aus, der darauf abzielt, jegliche Macht im Land an sich zu reißen.

Set-up der Supply-Chain

  1. Der Kater fängt ein Kaninchen und überreicht es dem König als Geschenk seines „Meisters“ – des Müllersohnes, der sich als fiktiver Marquis de Carabas ausgibt.
  2. Der Kater fängt zwei Rebhühner und übergibt sie dem König als Geschenk des Marquis.
  3. Einige Monate später beliefert der Kater den König weiterhin mit angeblich vom Marquis stammendem Wildfleisch.

War der Marquis de Carabas zu Beginn der Operation noch ein Niemand, so gilt er am Ende der Vorbereitungsphase als vertrauenswürdiger Wildlieferant. Der königliche Sicherheitsdienst hat in diesem Fall mindestens zwei schwerwiegende Fehler begangen. Zum einen hätten die Sicherheitsbeamten bereits stutzig werden müssen, als eine unbekannte Entität begann, den König mit Wildfleisch zu beliefern. Denn wir alle wissen: Nichts auf dieser Welt ist kostenlos. Und zum anderen muss beim Abschluss eines neuen Dienstvertrags mit einem Lieferanten zunächst dessen Ruf überprüft werden.

Social Engineering öffnet Türen

  1. Als nächstes lotst der Kater seinen „Meister“ zum Fluss, wo er ihn dazu überredet, seine Kleidung abzulegen und ins Wasser zu steigen. Als die Kutsche des Königs vorbeifährt, bittet der Kater unter dem Vorwand, dass die Kleidung des Marquis beim Bad im Fluss gestohlen wurde, um Hilfe.

Der Kater betätigt hier zwei Hebel auf einmal und behauptet, der nasse junge Mann sei kein Fremder, sondern ein vertrauenswürdiger Wildlieferant – und, nachdem er diesem zunächt selbstlos geholfen habe, brauche er jetzt königliche Unterstützung. Der falsche Marquis kann sich ohne seine gestohlenen Kleider nicht identifizieren (oder authentifizieren) und der König fällt, ohne weiter darüber nachzudenken, auf den billigen Trick des Katers herein – ein klassisches Beispiel für Social Engineering.

„Wasserloch-Attacke“ über die Website des Ogers

  1. Der Kater kommt im Schloss des Ogers an, wo er als Ehrengast empfangen wird, und bittet seinen Gastgeber darum, ihm seine magischen Fähigkeiten zu demonstrieren. Geschmeichelt von den netten Worten des Katers, verwandelt sich der Oger in einen Löwen. Unter dem Vorwand Angst zu haben, bittet der Kater den Ogar darum, sich in ein kleineres Tier zu verwandeln, woraufhin der leichtgläubige Oger gehorcht und sich in eine Maus verwandelt, dessen Leben der Kater schnell mit seinen Krallen beendet.

Um den Betrug erfolgreich abzuschließen, benötigt der Marquis nun eine Website. Doch eine solche Seite von Grund auf neu zu erstellen wäre tollkühn. Aus diesem Grund entschließt er sich, eine bereits vorhandene Seite zu hijacken. Hier skizziert Perrault vage eine Schwachstelle unzureichender Zugriffsberechtigungen. Der Kater meldet sich als externer Pentester an und verführt den lokalen Administrator dazu, mit dem Zugriffskontrollsystem herumzuspielen. Dem Administrator stehen zunächst erhöhte Root-Privilegien zu (Löwe), die dann auf beschränkte Gastzugangsprivilegien (Maus) abgestuft werden. Sobald dies geschieht, löscht der Kater das Konto mit den „Maus“ -Berechtigungen und wird so zum alleinigen Administrator der Website.

  1. Der König stattet dem Schloss einen Besuch ab und ist so zufrieden mit dem Empfang, dass er in dem Marquis den idealen Partner für die Prinzessin sieht. Er schlägt daher vor, ihn zum offiziellen Thronfolger zu machen.

Das passiert, wenn Social Engineering wie geplant funktioniert. Das Opfer besucht die jetzt böswillige Website und schließt dort einen Deal ab, durch den der Hacker Zugriff auf wertvolle Vermögenswerte (in diesem Fall den Thron) erhält.

Supply-Chain-Angriff

Dieser Teil wird in Perraults Märchen nicht erwähnt, aber wenn Sie aufgepasst haben, haben Sie wahrscheinlich bemerkt, dass der Marquis de Carabas am Ende der Geschichte:

  1. der vertrauenswürdige Lieferant des Königs ist, und
  2. zum Ehemann der einzigen Tochter des Königs ernannt wurde.

Alles, was ihn jetzt noch von seiner grenzenlosen Macht trennt, ist der alte Mann auf dem Thron. Grundsätzlich muss er, um ein absoluter Herrscher zu werden, nur einige tödliche Viren in den Code des nächsten Rebhuhns injizieren und sich dann entspannt zurücklehnen und abwarten.

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder