Sneeuwwitje, de zeven cryptominers en de gerichte aanvallen

Kinderen kunnen als de beste ongemakkelijke vragen stellen. Bestaat Sinterklaas? Waar brengt de tandenfee al die tanden naartoe? Is het überhaupt wel mogelijk om zomaar iedereen die je wilt te tracken? Is het waar dat de regering vaak achter gerichte aanvallen zit?

Gelukkig krijgen we in Sneeuwwitje en de zeven dwergen antwoord op die laatste twee vragen, want in dit sprookje worden er een aantal interessante technologieën beschreven (in allegorische vorm, natuurlijk). Zodra je weet waar je moet kijken, valt alles op zijn plek. Laten we de onderliggende tekst van dit beroemde sprookje van de gebroeders Grimm eens onderzoeken.

Spiegeltje, spiegeltje aan de wand

Het sprookje begint met een koning die weduwnaar is geworden bij de geboorte van zijn dochter. Hij vindt al snel een nieuwe koningin, inclusief haar magische, aan de muur bevestigde spiegel die haar vragen beantwoordt. Ze vraagt aan de spiegel:

Spiegeltje, spiegeltje aan de wand,

Wie is de mooiste van het land?

Lezers in het verleden vonden dit waarschijnlijk vreemder klinken dan nu het geval is. Tegenwoordig klinkt “Spiegeltje, spiegeltje aan de wand” niet vreemder dan de zinnetjes die we tegen onze digitale assistenten uitspreken (“OK, Google, of “Hey, Siri”). Deze spiegel verschilt niet zo veel van een hedendaagse smart-tv met een ingebouwde voice-assistent.

Maar het antwoord van de spiegel duidt erop dat het directe toegang heeft tot een database met alle inwoners van het land. We hebben het dan over documenten, biometrische gegevens, noem maar op. Bovendien kan deze voice-assistent die gegevens gebruiken om oordelen te vellen over een subjectief concept zoals schoonheid. De magische spiegel moet dus wel op geavanceerde machine-learning-technologie gebaseerd zijn.

De stiefmoeder-APT-groep: operaties “korsetkoorden” en “kam”

Laten we het hoofdplot eens bekijken. Vergeet niet dat het uitgangspunt van het verhaal is dat de stiefmoeder haar concurrentie uit de weg wil ruimen. Overheidsagenten gaan achter Sneeuwwitje aan, en dwingen haar zo om zich in een bos te verstoppen, en dat is waar ze de dwergen ontmoet.

De dwergen besluiten het voortvluchtige meisje onderdak te bieden. Ze hebben het echter druk met hun werk, en elke dag verlaten ze het huis om naar hun belangrijke banen te gaan. Het zijn mijnwerkers. De gebroeders Grimm beschreven uiteraard niet alle details, zoals waar ze hun materiaal bewaarden, welke cryptocurreny er gemined werd, en waar ze hun elektriciteit vandaan haalden. Maar aangezien ze ervoor kozen om op een afgelegen plek in het bos te minen, lijkt het erop dat hun activiteit niet volkomen legaal was.

Lukt het Sneeuwwitje om onopgemerkt te blijven op haar schuilplaats? Nee. De alwetende spiegel vertelt de koningin dat Sneeuwwitje leeft én geeft haar een vrij exacte locatie (“achter de bergen bij de zeven dwergen”). Zodra de stiefmoeder genoeg informatie heeft verzameld, besluit ze om een gerichte aanval uit te voeren op haar eigen stiefdochter. Ze neemt de gedaante van een oude koopvrouw aan die korsetkoorden aan Sneeuwwitje verkoopt, en zodra ze die gebruikt, zit haar korset zo strak dat ze dood neervalt.

Gelukkig maken de dwergen de koorden los en komt Sneeuwwitje weer tot leven. Dit is een metaforische beschrijving van hoe blocker-malware werkt. Blocker-malware vergrendelt een apparaat waardoor de gebruiker er geen toegang meer heeft (normaal gesproken om losgeld te verkrijgen, maar soms is het doel ook sabotage). Maar een van de dwergen moet een bekwaam expert zijn geweest die de aanval bijna onmiddellijk kon neutraliseren.

Leert de stiefmoeder zo haar lesje en geeft ze het op? Nee. Zodra ze erachter komt dat de aanval is mislukt, brengt ze een modificatie aan in dezelfde malware. Dit keer besluit ze een kam te gebruiken. Ze heeft geluk, want Sneeuwwitje heeft niets van de eerdere ervaring geleerd, en ze heeft nog altijd het volste vertrouwen in het downloaden van torrents kopen van een kam van een onbekende verkoper en deze te installeren en deze door haar haar te halen. De dwergen verijdelen opnieuw de blocker-infectie.

Een geïnfecteerde “Apple”

De stiefmoeder bereidt de derde gerichte aanval zorgvuldiger voor. Ze stelt een apparaat samen dat Sneeuwwitje permanent uitschakelt zodra het met haar is verbonden. Dit keer gaat het om een appel.

(Het is niet voor niets dat de gebroeders Grimm voor een appel kozen. Wat ze misschien echt wilden vertellen is dat er geen volwaardige beveiligingssystemen voor iOS-apparaten zijn, al kunnen we niet met zekerheid stellen dat ze <em>zó</em> vooruitziend waren. Of misschien wilden ze hun lezers gewoon niet in de war brengen; een plattelandsvrouw die in de middeleeuwen een Android probeert te verkopen had er nogal vreemd uitgezien.)

De dwergen hebben inmiddels blijkbaar wat cybersecurity-training voor Sneeuwwitje verzorgd; want de volgende keer dat haar stiefmoeder vermomd langskomt, zegt het meisje dat de dwergen haar hebben verboden om iemand binnen te laten of iets aan te nemen. Maar de training was echter niet voldoende, en als Sneeuwwitje ziet hoe de vrouw een hap van de appel neemt, gelooft ze dat het veilig is om het stuk fruit op te eten. Sneeuwwitje neemt een hap van de appel en valt meteen dood neer.

Dit keer kunnen de dwergen niets aan de malware doen en moeten ze accepteren dat Sneeuwwitje nu echt verloren is. Dit laat duidelijk zien hoe cryptomalware werkt. Het maakt gegevens ontoegankelijk, en in veel gevallen kunnen de eigenaars van de gegevens de acties van de malware niet ongedaan maken.

Maar de dwergen gaan goed te werk en begraven Sneeuwwitje niet, maar stoppen haar in plaats daarvan in een glazen kist in de hoop dat er op een dag een decryptie-tool beschikbaar komt. En inderdaad, na een tijdje komt er een informatiebeveiligingsexpert langs onder de naam van de “prins” langs. Na wat manipulaties aan de kist, vindt hij een stukje van de vergiftigde appel (de gebroeders Grimm bedoelden natuurlijk dat de prins de decryptiesleutel vond), en Sneeuwwitje wordt weer tot leven gebracht.

En uiteindelijk leeft iedereen nog lang en gelukkig.

Wat we van Sneeuwwitje kunnen leren

Wat kunnen kinderen van dit sprookje leren? We zetten het op een rijtje:

• Ja, er zijn technologieën die worden gebruikt om informatie over gebruikers te verzamelen, vaak zonder hun toestemming, en deze tools kunnen voor illegale doeleinden worden gebruikt.
• Ja, overheidsinstanties kunnen achter deze cyberaanvallen zitten.
• Mensen maken dezelfde fout vaak twee keer, en cybersecurity-training is niet altijd voldoende. Alleen lezingen geven om gebruikers te helpen is niet genoeg. Het is veel belangrijker om ze de benodigde vaardigheden aan te leren. Kaspersky Automated Security Awareness Platform kan bijvoorbeeld helpen bij een effectieve training.
• Soms kunnen er zelfs individuen en werknemers van kleine bedrijven doelwit zijn van APT-aanvallen. Dus elk apparaat dat met het internet is verbonden moet uitgerust zijn met een betrouwbaar beveiligingssysteem.