“Çizmeli Kedi” APT kampanyası

Charles Perrault, kiralık hackerların toplumsal mühendisliği ve “watering hole” saldırılarını nasıl siyasi amaçlarla kullandığını anlatıyor.

Büyümüş de küçülmüş çocuğunuz “Siyasi amaçlı APT saldırısı nedir?” diye sorsa ne cevap vereceğinizi hiç düşündünüz mü? Aslında cevap çok basit. Birlikte Charles Perrault’nun Çizmeli Kedi kitabını siber güvenlik açısından bakarak okumanız yeterli. Ne de olsa konuşan kediler ve devler gibi sanatsal detayları bir kenara bırakırsak masal, (kurgusal) bir devlete karşı gerçekleştirilen karmaşık bir çok vektörlü APT saldırısının şahane bir örneği. Gelin bu suçu birlikte çözelim.

Masal, bir değirmencinin ölümünden sonra her şeyini oğullarına bırakmasıyla başlar. En küçük oğula mirastan düşen pay, Çizmeli Kedi takma adını kullanan birinin iletişim bilgileri olur; bu kişinin kiralık bir hacker olduğu besbellidir: Shrek 2’den hatırlayacağınız üzere bu tatlı dilli kedi yalnızca alametifarikası olan çizmeleri giymekle kalmaz, bir de siyah şapka takar. Müşterisiyle kısa bir konuşma gerçekleştiren siber suçlu, ülkedeki gücü ele geçirmek için alçakça bir plan yapar.

Tedarik zincirini kurmak

  1. Kedi, bir tavşan yakalar ve bu tavşanı Carabas Markisi olduğunu iddia ettiği sahibi değirmencinin oğlundan bir hediye olarak krala sunar.
  2. Ardından kedi iki keklik yakalar; bunları da markiden gelen hediyeler olarak krala götürür.
  3.  Kedi birkaç ay boyunca markiden geldiğini öne sürerek krala av hayvanı sunmaya devam eder.

Tüm bu oyun başlamadan önce kimse Carabas Markisini tanımazken, bu hazırlık aşamasının ardından marki artık sarayda güvenilir bir av eti tedarikçisi olarak bilinmeye başlar. Kraliyet muhafızlarının en az iki bariz kusuru vardır. Birincisi, bilinmeyen bir kişi, saraya av eti göndermeye başladığında muhafızların uyanması gerekir. Ne de olsa herkes bedava yemek diye bir şey olmadığını bilir. İkincisi, yeni bir tedarikçiyle anlaşılırken yapılacak ilk şey, etrafta nasıl tanındığını kontrol etmektir.

Kapıyı açmak için toplumsal mühendislik

  1. Ardından kedi, “sahibini” nehre götürür ve onu giysilerini çıkarıp suya girmeye ikna eder. Kralın arabası geçtiği sırada kedi, markinin giysilerinin yüzerken çalındığını söyleyerek yardım ister.

Kedi burada iki oyun oynamaktadır: Hem ıslak genç adamın sıradan bir yabancı değil, güvenilir bir av eti tedarikçisi olduğunu iddia eder, hem de daha önceden özverili bir şekilde kendi yardımını sunmuş biri olarak desteğe ihtiyacı olduğunu dile getirir. Sahte marki, kıyafetleri olmadığı için kendi kimliğini doğrulayamaz. Kral, bu basit oyuna gelir ve sahte kimliği gerçek sanır. Bu, klasik bir toplumsal mühendislik örneğidir.

Devin web sitesiyle “watering hole” saldırısı

  1. Kedi onur konuğu olarak devin şatosuna gelir ve ev sahibinden büyü yeteneklerini sergilemesini ister. Gururu okşanan dev, kendini bir aslana dönüştürür. Korkmuş gibi yapan kedi, herkesin koca bir canavara dönüşebileceğini, esas marifetin küçük bir yaratığa dönüşebilmek olduğunu söyler. Kolay aldanan dev, bir fareye dönüşür ve yaşamı kedinin patileri arasında son bulur.

Aldatmacayı tamamlayabilmek için markinin bir web sitesine ihtiyacı vardır. Hangi tedarikçinin web sitesi olmaz ki? Sıfırdan bir site yaratmak gereksiz bir uğraştır: Böyle bir sitenin geçmişi olmaz ve oluşturulma tarihi şüphe uyandırır. Bu yüzden var olan bir siteyi ele geçirmeye karar verir. Perrault burada kabaca gevşek erişim izinleriyle ilgili bir güvenlik açığını betimlemiştir. Kedi, harici bir sızma testi uzmanı olarak giriş yapar ve yerel yöneticiyi erişim kontrol sisteminde çeşitli şeyler yapmaya ikna eder. Yönetici ilk önce kendi ayrıcalıklarını root ayrıcalıklarına yükseltir (aslan), ardından misafir ayrıcalıklarına düşürür (fare). Bu olur olmaz kedi, “fare” izinlerine sahip hesabı siler ve web sitesinin tek yöneticisi haline gelir.

Toplumsal mühendislik istenen şekilde ilerlediğinde olan budur. Kurban, artık kötü amaçlı hale gelen web sitesini ziyaret eder ve bu sitede bir anlaşma yaparak hackera değerli varlıklarını (bu masalda tahtı) sunar. Elbette bunu doğrudan yapmaz: Masaldaki kral, kızını sahte markiyle evlendirdiğini zannetmektedir.

Tedarik zinciri saldırısı

Perrault sonrasını anlatmıyor ama şimdiye kadar anlatılanlara dikkat ettiyseniz masalın sonunda Carabas Markisinin

  •  birkaç ay boyunca kraliyet sofrasına av eti temin ederek kralın güvenilir tedarikçisi haline geldiğini ve
  • kralın tek kızıyla evlendiğini gördünüz.

Artık sınırsız güçle arasında duran tek şey, tahtta oturan yaşlı adam. Tek hükümdar olmak için tek yapması gereken, bir sonraki kekliğin içine öldürücü bir virüs enjekte etmek; sonra da arkasına yaslanıp beklemek.

 

İpuçları