{"id":20371,"date":"2019-10-17T16:41:38","date_gmt":"2019-10-17T14:41:38","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=20371"},"modified":"2019-11-22T11:58:49","modified_gmt":"2019-11-22T09:58:49","slug":"operation-puss-in-boots","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/operation-puss-in-boots\/20371\/","title":{"rendered":"APT-Kampagne „Der gestiefelte Kater“"},"content":{"rendered":"

Haben Sie jemals dar\u00fcber nachgedacht, wie Ihre Antwort lauten w\u00fcrde, wenn Ihr fr\u00fchreifes Kind Sie nach der Bedeutung eines politisch motivierten APT-Angriffs fragen w\u00fcrde? Die Antwort ist im Grunde genommen ganz einfach, denn Sie m\u00fcssen lediglich das M\u00e4rchen \u201eDer gestiefelte Kater\u201c von Charles Perrault aus Ihrem B\u00fccherregal holen und ihm eine cybersicherheitstechnische Neuinterpretation verleihen. Wenn wir die k\u00fcnstlerischen Freiheiten wie beispielsweisen einen sprechenden Kater ignorieren, ist die Geschichte ein wunderbares Beispiel f\u00fcr einen komplexen Multivektor-APT-Angriff auf eine (fiktive) Regierung.<\/p>\n

Die Geschichte beginnt mit einem M\u00fcller, der seinen drei S\u00f6hnen nach seinem Tod sein gesamtes Hab und Gut \u00fcberl\u00e4sst. Der Erbanteil des j\u00fcngsten Sohnes umfasst die Kontaktdaten einer Person, die unter dem Pseudonym \u201eDer gestiefelte Kater\u201c bekannt ist und offensichtlich als Hacker engagiert wurde. Vielleicht erinnern Sie sich daran, dass dieser sprachgewandte Kater in Shrek 2<\/em> nicht nur sein Markenzeichen, die Stiefel, sondern auch einen schwarzen Hut (Black Hat<\/a><\/em>) tr\u00e4gt. Nach einem kurzen Austausch mit dem Kunden feilt der Cyberkriminelle einen abscheulichen Plan aus, der darauf abzielt, jegliche Macht im Land an sich zu rei\u00dfen.<\/p>\n

Set-up der Supply-Chain<\/h2>\n
    \n
  1. Der Kater f\u00e4ngt ein Kaninchen und \u00fcberreicht es dem K\u00f6nig als Geschenk seines \u201eMeisters\u201c \u2013 des M\u00fcllersohnes, der sich als fiktiver Marquis de Carabas<\/em> ausgibt.<\/li>\n
  2. Der Kater f\u00e4ngt zwei Rebh\u00fchner und \u00fcbergibt sie dem K\u00f6nig als Geschenk des Marquis.<\/li>\n
  3. Einige Monate sp\u00e4ter beliefert der Kater den K\u00f6nig weiterhin mit angeblich vom Marquis stammendem Wildfleisch.<\/li>\n<\/ol>\n

    War der Marquis de Carabas zu Beginn der Operation noch ein Niemand, so gilt er am Ende der Vorbereitungsphase als vertrauensw\u00fcrdiger Wildlieferant. Der k\u00f6nigliche Sicherheitsdienst hat in diesem Fall mindestens zwei schwerwiegende Fehler begangen. Zum einen h\u00e4tten die Sicherheitsbeamten bereits stutzig werden m\u00fcssen, als eine unbekannte Entit\u00e4t begann, den K\u00f6nig mit Wildfleisch zu beliefern. Denn wir alle wissen: Nichts auf dieser Welt ist kostenlos. Und zum anderen muss beim Abschluss eines neuen Dienstvertrags mit einem Lieferanten zun\u00e4chst dessen Ruf \u00fcberpr\u00fcft werden.<\/p>\n

    Social Engineering \u00f6ffnet T\u00fcren<\/h2>\n
      \n
    1. Als n\u00e4chstes lotst der Kater seinen \u201eMeister\u201c zum Fluss, wo er ihn dazu \u00fcberredet, seine Kleidung abzulegen und ins Wasser zu steigen. Als die Kutsche des K\u00f6nigs vorbeif\u00e4hrt, bittet der Kater unter dem Vorwand, dass die Kleidung des Marquis beim Bad im Fluss gestohlen wurde, um Hilfe.<\/li>\n<\/ol>\n

      Der Kater bet\u00e4tigt hier zwei Hebel auf einmal und behauptet, der nasse junge Mann sei kein Fremder, sondern ein vertrauensw\u00fcrdiger Wildlieferant \u2013 und, nachdem er diesem zun\u00e4cht selbstlos geholfen habe, brauche er jetzt k\u00f6nigliche Unterst\u00fctzung. Der falsche Marquis kann sich ohne seine gestohlenen Kleider nicht identifizieren (oder authentifizieren) und der K\u00f6nig f\u00e4llt, ohne weiter dar\u00fcber nachzudenken, auf den billigen Trick des Katers herein \u2013 ein klassisches Beispiel f\u00fcr Social Engineering.<\/p>\n

      \u201eWasserloch-Attacke\u201c \u00fcber die Website des Ogers<\/h2>\n
        \n
      1. Der Kater kommt im Schloss des Ogers an, wo er als Ehrengast empfangen wird, und bittet seinen Gastgeber darum, ihm seine magischen F\u00e4higkeiten zu demonstrieren. Geschmeichelt von den netten Worten des Katers, verwandelt sich der Oger in einen L\u00f6wen. Unter dem Vorwand Angst zu haben, bittet der Kater den Ogar darum, sich in ein kleineres Tier zu verwandeln, woraufhin der leichtgl\u00e4ubige Oger gehorcht und sich in eine Maus verwandelt, dessen Leben der Kater schnell mit seinen Krallen beendet.<\/li>\n<\/ol>\n

        Um den Betrug erfolgreich abzuschlie\u00dfen, ben\u00f6tigt der Marquis nun eine Website. Doch eine solche Seite von Grund auf neu zu erstellen w\u00e4re tollk\u00fchn. Aus diesem Grund entschlie\u00dft er sich, eine bereits vorhandene Seite zu hijacken. Hier skizziert Perrault vage eine Schwachstelle unzureichender Zugriffsberechtigungen. Der Kater meldet sich als externer Pentester an und verf\u00fchrt den lokalen Administrator dazu, mit dem Zugriffskontrollsystem herumzuspielen. Dem Administrator stehen zun\u00e4chst erh\u00f6hte Root-Privilegien zu (L\u00f6we), die dann auf beschr\u00e4nkte Gastzugangsprivilegien (Maus) abgestuft werden. Sobald dies geschieht, l\u00f6scht der Kater das Konto mit den \u201eMaus\u201c -Berechtigungen und wird so zum alleinigen Administrator der Website.<\/p>\n

          \n
        1. Der K\u00f6nig stattet dem Schloss einen Besuch ab und ist so zufrieden mit dem Empfang, dass er in dem Marquis den idealen Partner f\u00fcr die Prinzessin sieht. Er schl\u00e4gt daher vor, ihn zum offiziellen Thronfolger zu machen.<\/li>\n<\/ol>\n

          Das passiert, wenn Social Engineering wie geplant funktioniert. Das Opfer besucht die jetzt b\u00f6swillige Website und schlie\u00dft dort einen Deal ab, durch den der Hacker Zugriff auf wertvolle Verm\u00f6genswerte (in diesem Fall den Thron) erh\u00e4lt.<\/p>\n

          Supply-Chain-Angriff<\/h2>\n

          Dieser Teil wird in Perraults M\u00e4rchen nicht erw\u00e4hnt, aber wenn Sie aufgepasst haben, haben Sie wahrscheinlich bemerkt, dass der Marquis de Carabas<\/em> am Ende der Geschichte:<\/p>\n

            \n
          1. der vertrauensw\u00fcrdige Lieferant des K\u00f6nigs ist, und<\/li>\n
          2. zum Ehemann der einzigen Tochter des K\u00f6nigs ernannt wurde.<\/li>\n<\/ol>\n

            Alles, was ihn jetzt noch von seiner grenzenlosen Macht trennt, ist der alte Mann auf dem Thron. Grunds\u00e4tzlich muss er, um ein absoluter Herrscher zu werden, nur einige t\u00f6dliche Viren in den Code des n\u00e4chsten Rebhuhns injizieren und sich dann entspannt zur\u00fccklehnen und abwarten.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

            Charles Perrault erkl\u00e4rt, wie engagierte Hacker Social Engineering und Watering-Hole-Angriffe f\u00fcr politische Zwecke verwenden k\u00f6nnen.<\/p>\n","protected":false},"author":700,"featured_media":20372,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[522,274,115,3395,273,2967,778],"class_list":{"0":"post-20371","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apt","9":"tag-bedrohungen","10":"tag-kinder","11":"tag-marchen","12":"tag-social-engineering","13":"tag-supply-chain","14":"tag-watering-hole"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/operation-puss-in-boots\/20371\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/operation-puss-in-boots\/16781\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/operation-puss-in-boots\/14170\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/operation-puss-in-boots\/18768\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/operation-puss-in-boots\/16815\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/operation-puss-in-boots\/15560\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/operation-puss-in-boots\/19468\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/operation-puss-in-boots\/18129\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/operation-puss-in-boots\/23771\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/operation-puss-in-boots\/6553\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/operation-puss-in-boots\/28963\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/operation-puss-in-boots\/12415\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/operation-puss-in-boots\/12466\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/operation-puss-in-boots\/11331\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/operation-puss-in-boots\/24354\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/operation-puss-in-boots\/24789\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/operation-puss-in-boots\/19234\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/operation-puss-in-boots\/23550\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/operation-puss-in-boots\/23400\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/bedrohungen\/","name":"Bedrohungen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/20371","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=20371"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/20371\/revisions"}],"predecessor-version":[{"id":20740,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/20371\/revisions\/20740"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/20372"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=20371"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=20371"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=20371"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}