Белоснежка, семь криптомайнеров и целевые атаки

Сказки братьев Гримм могут служить неиссякаемым кладезем наглядных уроков по информационной безопасности, понятных не только детям, но и взрослым.

Сказки братьев Гримм могут служить неиссякаемым кладезем наглядных уроков по информационной безопасности, понятных не только детям, но и взрослым.

Дети умеют задавать неудобные вопросы. Существует ли Дед Мороз? Куда зубная фея уносит зубы? Бывают ли технологии, позволяющие следить за любым человеком? Правда ли, что за целевыми атаками зачастую стоят государства?

К счастью, ответ на два последних вопроса есть в сказке братьев Гримм «Белоснежка и семь гномов», популяризованной студией Диснея. В ней описано немало интересных технологий — разумеется, в завуалированном виде. Но если знать, куда смотреть, то все быстро становится понятно. Давайте разберемся, о чем же на самом деле пишут Гримм.

Зеркальце, зеркальце на стене

Завязка у сказки более-менее стандартная: овдовевший король остается с дочкой и вскоре находит себе новую королеву. Интересно тут ее приданое — волшебное настенное зеркало, перед которым она становилась и говорила:

Зеркальце, зеркальце на стене,

Кто всех красивей в нашей стране?

Когда-то ее ритуал казался странноватым. Сейчас «зеркальце, зеркальце на стене» звучит ничуть не глупее ключевой фразы «OK, Google» или «Привет, Сири». Да, это устройство было обыкновенным смарт-телевизором с встроенным голосовым помощником.

Но судя по ответам «зеркальца», у него был прямой доступ к базе данных всех жителей королевства. Причем не только к их паспортным данным, но и к биометрическим. Более того, голосовой помощник на основании этих данных каким-то образом выносит вердикт о таком субъективном понятии, как красота. Не иначе как при помощи продвинутых технологий машинного обучения.

Интересно, что Пушкин в своей интерпретации этой истории, которую он озаглавил «Сказка о мертвой царевне и о семи богатырях», многое поменял, но оставил неизменной технологию голосового помощника. Правда, вместо смарт-ТВ Александр Сергеевич выдал в приданое мачехе планшет. Локализованная версия голосового помощника отзывалась на кодовую фразу «свет мой, зеркальце, скажи».

APT-группа Machekha: операция Shnoorki и операция Greben

Впрочем, перейдем к основному сюжету. Напомню, что завязка состоит в том, что мачеха решает избавиться от конкурентки. Далее начинается преследование Белоснежки властями, что в итоге приводит к бегству последней через лес и встрече с гномами (на самом деле они не гномы, а скорее карлы, но я буду использовать устоявшееся в русском языке слово).

Гномы приютили беглянку, но они заняты важной работой и каждый день уходят из дома. Они майнят. Братья Гримм оставляют недосказанными некоторые моменты — где их оборудование, какую именно криптовалюту они майнят, где берут электроэнергию. Но судя по тому, что майнят они в уединенном месте в лесу, занятие их не вполне законно.

Удается ли спрятаться Белоснежке? Нет. Всезнающее «зеркальце» не только сообщает королеве, что она жива, но и дает достаточно точные координаты (Белоснежка там, за горами, у гномов семи за стенами). Собрав достаточно сведений, мачеха решает организовать целевую атаку на собственную падчерицу. Она использует личность «старой торговки», продает Белоснежке разноцветные шелковые шнурки и зашнуровывает ими лиф так, что девушка падает замертво наземь.

К счастью, гномы догадываются расшнуровать лиф, и Белоснежка оживает. Не вызывает никаких сомнений, что тут описан механизм работы вредоносного ПО — блокера. Это зловред, который блокирует работу устройства (обычно с целью выкупа, но иногда и для саботажа). Однако среди гномов, по всей видимости, был компетентный эксперт, которому мы можем только поаплодировать, — атака была нейтрализована почти мгновенно.

Научило ли это чему-либо мачеху? Нет. Поняв, что атака провалилась, она использует другую модификацию того же вредоноса — на этот раз гребень. Впрочем, Белоснежку опыт также не научил ничему: она по той же схеме скачивает из торрентов покупает неизвестно у кого гребень и соглашается на его инсталляцию в волосы. Гномы точно также снимают блокировку.

Зараженное устройство «Яблоко»

Третью волну своей целевой атаки мачеха готовит тщательнее. Она собирает устройство, которое при подключении к Белоснежке выведет ее из строя перманентно. Так называемое «ядовитое-преядовитое яблоко».

Почему братья Гримм выбрали в качестве аллегории на зараженное устройство яблоко — с явным намеком на Apple? Возможно, они имели в виду, что для устройств с iOS не существует полноценных защитных решений. А может быть, просто не хотели смущать своих читателей: согласитесь, если бы в средние века крестьянка попыталась продать Белоснежке «андроид», это смотрелось бы довольно странно.

К этому моменту гномы успели провести с Белоснежкой тренинг по кибербезопасности. Потому что она говорит, что «пускать в дом никого не велено» и «брать ничего не велено». Однако тренинг не очень-то помог — как только девушка увидела, что крестьянка надкусывает яблоко, она поверила в его безопасность, также приложилась к фрукту и, как и следовало ожидать, упала замертво наземь.

На этот раз гномы не смогли справиться с вредоносом и сочли Белоснежку утраченной. Тут явно демонстрируется работа шифровальщика, который делает данные недоступными, так что во многих случаях не остается возможности восстановить их своими силами.

Однако, следуя лучшим практикам, гномы не хоронят Белоснежку, а кладут ее в стеклянный гроб в надежде на то, что когда-нибудь появится утилита для дешифровки. И действительно, через некоторое время их навещает странствующий эксперт по информационной безопасности, известный под никнеймом «Королевич». Путем неких манипуляций с гробом он выявляет «кусок отравленного яблока» (очевидно, что так братья Гримм пытались сказать «ключ для дешифровки»), и девушка оживает.

Далее следует хэппи-энд, свадьба, казнь мачехи и прочие народные гуляния.

Уроки «Белоснежки»

Чему же должна учить детей эта сказка? Вот чему:

  • Да, есть технологии, собирающие информацию о пользователях, зачастую без их согласия, и они могут быть использованы в незаконных целях.
  • Да, за кибератаками могут стоять государственные структуры.
  • Люди склонны наступать на одни и те же грабли по нескольку раз, и тренинги по кибербезопасности не всегда помогают. Чтобы они помогали, нужно не просто читать лекции, а прививать нужные навыки. В этом может помочь, например, наше решение Kaspersky Automated Security Awareness Platform.
  • Иногда даже частные лица и сотрудники небольших компаний могут стать целью APT-атак. Так что любое устройство, имеющее выход в Интернет, должно быть снабжено надежным защитным решением.
Советы