روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ هیچ فکرش را کرده‌اید که اگر روزی فرزند باهوشتان ازتان بپرسد، «حمله‌ی APT با انگیزه‌ی سیاسی یعنی چه؟» جوابتان چه خواهد بود؟ هول نکنید! جواب سرراست و ساده‌ای برایتان داریم: خیلی راحت داستان گربه‌ی چکمه‌پوش را برایش تعریف کرده و آن را از ابعاد امنیت سایبری بازگو کنید. از اینها گذشته، اگر آزادی‌های هنری این داستان را کنار بگذاریم (مثل گربه‌ی ناطق و آدمخوار)، قصه‌ی گربه چکمه‌پوش نمونه‌ی عالی‌ایست از یک حمله‌ی APT چندبُرداریِ پیچیده‌ علیه دولت (خیالی). در ادامه با ما همراه شوید تا این قصه را از دریچه‌ی امنیت سایبری برایتان تعریف کنیم.

ماجرا از آسیابانی شروع می‌شود که بعد از مرگش هرچه دارد را برای پسران خود می‌گذارد. سهم کوچکترین پسر، اطلاعات تماس فردی است با نام مستعار گربه چکمه‌پوش که به طور حتم یک هکرِ استخدام‌شده است- یادتان که نرفته در شرک 2 این گربه‌ی زبان‌صورتی نه تنها بوت‌های همیشگی‌اش را پا کرده است که همچنین کلاه مشکی‌اش را هم به سر دارد. بعد از یک مبادله‌ی مختصر با کلاینت، این مجرم سایبری نقشه‌ای بی‌رحمانه می‌کشد که قدرت کشور را در دست گیرد.

ایجاد زنجیره‌ی تأمین

1. گربه خرگوشی را می‌گیرد و به شاه هدیه می‌دهد. می‌گوید هدیه از آنِ اربابش است- پسر آسیابان (که مثلاً پادشاه خیالیِ کاراباس است).
2. گربه دو تا کبک شکار می‌کند و باز می‌برد برای شاه و می‌گوید این را اربابش (پادشاه کاراباس) تقدیم کرده است.
3. گربه این بازی کثیف را تا چند ماه ادامه می‌دهد و هر چه به شاه می‌دهد می‌گوید از طرف اربابش، پادشاه کاراباس است.

شاید اول عملیات، پادشاه کاراباس شخصیت خیالی بود اما دیدیم که آخر قصه می‌شود قابل‌اطمینان‌ترین مُهره. سرویس امنیتی سلطنتی دست‌کم دو اشتباه فاحش کرد: اول اینکه بخش امنیتی وقتی هویتی ناشناس وارد قصر شد باید حواس خود را جمع می‌کرد. دوم اینکه، وقتی با تأمین‌کننده‌ی جدیدی معاهده صورت می‌گیرد اولین کار این است که آوازه و اعتبارش مورد سنجش واقع شود.

گشودن در با مهندسی اجتماعی

4. سپس، گربه ارباب خود را به لب رودخانه می‌برد و قانعش می‌کند لباس‌هایش را درآورده و تن به آب بزند. بعد تا ارابه‌ی شاه گذر می‌کند فریاد می‌زند و درخواست کمک می‌کند. می‌گوید اربابش دارد غرق می‌شود و لباس‌هایش را هم دزدیده‌اند.

گربه در اینها از دو اهرم در آن واحد بهره می‌جوید؛ می‌گوید مرد جوان خیس، غریبه نیست و تأمین‌کننده‌ی قابل‌اعتمادیست و بعد هم تقاضای کمک می‌کند. پادشاه کاراباسِ تقلبی هم بدون لباس نمی‌تواند قضاوت شود و برای همین پادشاه فریبش را خورده و او را به اشتباه به عنوان پادشاه واقعی کاراباس می‌پذیرند. نمونه‌ای سنتی از یک مهندسی اجتماعیِ بی‌نظیر.

حمله‌ی گودال آب[1] از طریق وبسایتِ آدمخوار[2]

5. گربه به قصر آدمخوار می‌رسد؛ جایی که به عنوان مهمانی محبوب پذیرفته می‌شود. او از میزبانش می‌خواهد توانایی‌هایی بی‌بدلیش در جادوگری را نشانش دهد. آدمخوار که به قابلیت‌های خود می‌بالد خودش را تبدیل به شیر می‌کند و گربه که وانمود به ترس می‌کند از او می‌خواهد این بار خود را به چیز کوچکی تبدیل کند. و بعد آدمخوار تبدیل به موش می‌شود. حالا گربه موش را به چنگال گرفته و جانش را در دم می‌ستاند.

برای تمام کردن این نقشه، مرد جوان به یک وبسایت نیاز دارد- دیگر چه تأمین‌کننده ایست که وبسایت نداشته باشد؟ ساخت وبسایتی که از صفر تا صد کاریست بس دشوار: هم تاریخچه ندارد و هم تاریخ ساختش شک‌ها را برمی‌انگیزد. بنابراین، سایت موجود سرقت می‌شود. در اینجا شار پروی نویسنده، به طور مبهمی آسیب‌پذیری‌ای که مجوزهای دسترسیِ ضعیفی دارد را به تصویر کشده است. گربه به عنوان یک پن‌تستر (آزمونگر میزان نفوذپذیری) وارد شده و لوکال ادمین را متقاعد می‌کند دسترسی سیستم کنترل را دستکاری کند. ادمین ابتدا مزایای دسترسی‌ روت را بالا می‌برد (تبدیل به شیر) و بعد آن را کم کرده و به میهمان می‌دهد (تبدیل به موش). به محض افتادن این اتفاق، گربه اکانت را با مجوزهای «موش» پاک کرده و با تبحر می‌شود تنها ادمین وبسایت.

6. پادشاه از قصر دیدن می‌کند و آنقدر از پذیرایی‌ای که از او می‌شود لذت می‌برد که تصمیم می‌گیرد پادشاه تقلبی کاراباس را به دامادی‌اش قبول کند. برای همین او را به دادگاه دعوت می‌کند و او را بعد از خود جایگزین تخت و تاجش می‌نماید.

وقتی مهندسی اجتماعی درست طبق برنامه پیش برود نتیجه‌اش همین می‌شود. قربانی از وبسایت (که اکنون آلوده شده است) دیدن می‌کند و اجازه می‌دهد هکر به دارایی‌های باارزشش دسترسی پیدا کند (در این مورد، منظور تاج و تخت پادشاه است). البته شاید دارایی ارزشمند در اینجا غیرمستقیم به قبول کردن اینکه دخترش، همسر پادشاه جعلی کاراباس شود هم اشاره داشته باشد.

حمله‌ی زنجیره‌ تأمین

در متن شارل پرو به این بخش اشاره نمی‌شود اما اگر توجه می‌کردید احتمالاً متوجه می‌شدید آخر قصه پادشاه کاراباس:

• تأمین‌کننده‌ی مطمئنِ شاه است- چند ماه است که قلمروی پادشاهی را فریب داده و اکنون بر مسند قدرت نشسته است.
• داماد شاه شده است.

حالا تنها مانع برای رسیدن به قدرت بی‌حد و حصر، شاه پیر است. برای اینکه فرمانده بی‌بدیل این فرمانروایی شود باید ویروسی کشنده به کبک تزریق کند و بعد آن را به شاه هدیه دهد؛ آنوقت دیگر باید عقب بنشیند و نتیجه‌ی بازی را نظاره‌گر باشد.

[1] Watering hole attack

[2] ogre