{"id":12466,"date":"2019-10-24T20:55:13","date_gmt":"2019-10-24T23:55:13","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=12466"},"modified":"2019-11-22T06:58:06","modified_gmt":"2019-11-22T09:58:06","slug":"operation-puss-in-boots","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/operation-puss-in-boots\/12466\/","title":{"rendered":"A Campanha de APT “O Gato de Botas”"},"content":{"rendered":"

Voc\u00ea j\u00e1 pensou qual seria sua resposta se seu filho precoce perguntasse: \u201cO que \u00e9 um ataque APT de motiva\u00e7\u00e3o pol\u00edtica?\u201d Esse cen\u00e1rio \u00e9 no m\u00ednimo curioso. Ent\u00e3o, tire a poeira da sua c\u00f3pia do cl\u00e1ssico de Charles Perrault \u201cO Gato de Botas<\/em><\/a>\u201d e leia atento aos aspectos de ciberseguran\u00e7a. Afinal, se ignorarmos as liberdades art\u00edsticas, como um gato falante e ogros, o conto representa um maravilhoso exemplo de um complexo ataque APT multivetorial contra um governo (fict\u00edcio). Vamos desfazer esse cibercrime juntos.
\nO conto come\u00e7a com um moleiro deixando tudo para seus filhos. A parte da heran\u00e7a do filho mais novo inclui os contatos detalhados de uma pessoa que usa o pseud\u00f4nimo de Gato de Botas<\/em> e \u00e9 obviamente um hacker de aluguel \u2013 como voc\u00ea deve se lembrar, no Shrek 2, esse personagem n\u00e3o usa apenas suas botas como marca registrada, mas tamb\u00e9m um chap\u00e9u preto. Ap\u00f3s uma breve troca de informa\u00e7\u00f5es com o cliente, o cibercriminoso tra\u00e7a um plano covarde que visa tomar o poder no pa\u00eds.<\/p>\n

Estabelecendo a cadeia de suprimentos<\/strong><\/h3>\n
    \n
  1. O gato pega um coelho e o apresenta ao rei como um presente de seu mestre \u2013 o filho do moleiro, posando como o fict\u00edcio marqu\u00eas de Carab\u00e1s.<\/li>\n
  2. O gato pega duas perdizes e as entrega ao rei como presente do marqu\u00eas.<\/li>\n
  3. O gato continua apresentando ca\u00e7a selvagem ao rei por v\u00e1rios meses, todas supostamente do marqu\u00eas.<\/li>\n<\/ol>\n

    Se no in\u00edcio da opera\u00e7\u00e3o o marqu\u00eas de Carab\u00e1s n\u00e3o era ningu\u00e9m, no final da fase preparat\u00f3ria, j\u00e1 era conhecido na corte como um fornecedor confi\u00e1vel de ca\u00e7a selvagem. O servi\u00e7o real de seguran\u00e7a cometeu pelo menos dois erros gritantes. Primeiro, a seguran\u00e7a deveria ter se tornado cautelosa quando uma entidade desconhecida come\u00e7ou a enviar a ca\u00e7a para o castelo. Afinal, todo mundo sabe que n\u00e3o existe almo\u00e7o gr\u00e1tis. Segundo, ao fazer um acordo com um novo fornecedor, a primeira coisa a fazer \u00e9 verificar sua reputa\u00e7\u00e3o.<\/p>\n

    Engenharia social para abrir a porta<\/strong><\/h3>\n
      \n
    1. Em seguida, o gato leva seu \u201cmestre\u201d para o rio, onde o convence a tirar a roupa e entrar na \u00e1gua. Quando a carruagem do rei passa, o gato pede ajuda, dizendo que as roupas do marqu\u00eas foram roubadas enquanto ele estava nadando.<\/li>\n<\/ol>\n

      O gato consegue duas coisas. Por um lado, alegando que o jovem molhado n\u00e3o \u00e9 um estranho, mas um fornecedor confi\u00e1vel de ca\u00e7a selvagem, e que, tendo ajudado desinteressadamente, o gato agora precisa de ajuda. O falso marqu\u00eas n\u00e3o pode se identificar (ou autenticar) sem suas roupas roubadas. O rei \u00e9 pego nesse truque simples, confundindo uma identidade falsa com uma genu\u00edna. \u00c9 um exemplo cl\u00e1ssico de engenharia social.<\/p>\n

      Ataque watering hole<\/em> via site do ogro<\/strong><\/h3>\n
        \n
      1. O gato chega ao castelo do ogro, onde \u00e9 recebido como convidado de honra e pede ao seu anfitri\u00e3o que demonstre suas habilidades m\u00e1gicas. Lisonjeado, o ogro se transforma em le\u00e3o. Fingindo ter medo, o gato diz que qualquer um pode se transformar em um animal grande \u2013 que tal transformar um animal pequeno? O ing\u00eanuo ogro se transforma em um rato e as garras do gato encerram sua vida rapidamente.<\/li>\n<\/ol>\n

        Para concluir a estrat\u00e9gia, o marqu\u00eas precisa de um site \u2013 que tipo de fornecedor n\u00e3o possui um? Criar um site a partir do zero seria imprudente: n\u00e3o teria hist\u00f3rico e sua data de cria\u00e7\u00e3o pareceria suspeita. Portanto, ele decide sequestrar um site existente. Aqui, Perrault esbo\u00e7a vagamente uma vulnerabilidade que envolve permiss\u00f5es de acesso. O gato efetua login como uma prova de penetra\u00e7\u00e3o e convence o administrador local a brincar com o sistema de controle de acesso. O administrador primeiro aumenta seus pr\u00f3prios privil\u00e9gios para \u201croot\u201d (le\u00e3o) e depois os reduz para \u201cconvidados\u201d (rato). Assim que isso acontece, o gato exclui a conta com permiss\u00f5es de \u201crato\u201d, tornando-se efetivamente o \u00fanico administrador do site.<\/p>\n

          \n
        1. O rei visita o castelo e fica t\u00e3o satisfeito com a recep\u00e7\u00e3o que decide que o marqu\u00eas \u00e9 um bom marido para a princesa e, assim, prop\u00f5e convid\u00e1-lo \u00e0 corte e torn\u00e1-lo herdeiro do trono.<\/li>\n<\/ol>\n

          \u00c9 o que acontece quando a engenharia social funciona como previsto. A v\u00edtima visita o site (agora malicioso) e conclui um acordo, dando ao hacker acesso a ativos valiosos (neste caso, o trono). N\u00e3o diretamente, \u00e9 claro \u2013 aqui ele entrega sua filha em casamento ao falso marqu\u00eas.<\/p>\n

          Ataque da cadeia de suprimentos<\/strong><\/h3>\n

          O texto de Perrault n\u00e3o menciona essa parte, mas se voc\u00ea estiver prestando aten\u00e7\u00e3o, provavelmente notou que, no final da hist\u00f3ria, o marqu\u00eas de Carab\u00e1s:<\/p>\n

            \n
          1. \u00c9 o fornecedor de confian\u00e7a do rei \u2013 distribui ca\u00e7a selvagem para a mesa do monarca h\u00e1 v\u00e1rios meses, e<\/li>\n
          2. \u00e9 o marido da \u00fanica filha do rei.<\/li>\n<\/ol>\n

            Tudo o que o separa do poder ilimitado \u00e9 o velho no trono. Basicamente, para se tornar um herdeiro ao trono, tudo o que ele precisa fazer \u00e9 injetar um v\u00edrus letal no c\u00f3digo da pr\u00f3xima perdiz, depois sentar e esperar.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

            Charles Perrault explica como hackers contratados usam engenharia social e ataques \u201cwatering hole\u201d com inten\u00e7\u00f5es pol\u00edticas.<\/p>\n","protected":false},"author":700,"featured_media":12467,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655],"tags":[71,2074,1935,2054,104,314,2075],"class_list":{"0":"post-12466","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-apt","11":"tag-atp","12":"tag-cadeia-de-suprimentos","13":"tag-contos-de-fadas","14":"tag-criancas","15":"tag-engenharia-social","16":"tag-watering-hole"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/operation-puss-in-boots\/12466\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/operation-puss-in-boots\/16781\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/operation-puss-in-boots\/14170\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/operation-puss-in-boots\/18768\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/operation-puss-in-boots\/16815\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/operation-puss-in-boots\/15560\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/operation-puss-in-boots\/19468\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/operation-puss-in-boots\/18129\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/operation-puss-in-boots\/23771\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/operation-puss-in-boots\/6553\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/operation-puss-in-boots\/28963\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/operation-puss-in-boots\/12415\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/operation-puss-in-boots\/11331\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/operation-puss-in-boots\/20371\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/operation-puss-in-boots\/24354\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/operation-puss-in-boots\/24789\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/operation-puss-in-boots\/19234\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/operation-puss-in-boots\/23550\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/operation-puss-in-boots\/23400\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/12466","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=12466"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/12466\/revisions"}],"predecessor-version":[{"id":12600,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/12466\/revisions\/12600"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/12467"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=12466"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=12466"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=12466"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}