{"id":21850,"date":"2020-01-16T17:58:23","date_gmt":"2020-01-16T15:58:23","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=21850"},"modified":"2020-01-16T17:58:23","modified_gmt":"2020-01-16T15:58:23","slug":"snow-white-cryptominers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/snow-white-cryptominers\/21850\/","title":{"rendered":"Schneewittchen und die sieben Kryptominer"},"content":{"rendered":"

Kinder stellen gerne unangenehme Fragen. Gibt es den Weihnachtsmann? Was macht die Zahnfee eigentlich mit all den Z\u00e4hnen, die sie gesammelt hat? Kann man jeden Menschen auf der Welt tracken? Stimmt es, dass Regierungen h\u00e4ufig hinter zielgerichteten Angriffen stecken?<\/p>\n

Gl\u00fccklicherweise finden sich in Schneewittchen und die sieben Zwerge <\/em>Antworten auf die letzten beiden Fragen,<\/em> die eine Reihe interessanter Technologien beschreiben (nat\u00fcrlich auf allegorische Weise). Sobald Sie wissen, wo Sie suchen m\u00fcssen, f\u00fcgt sich das Bild von ganz alleine zusammen. Im Anschluss werden wir die Botschaft des ber\u00fchmten M\u00e4rchens der Gebr\u00fcder Grimm aus cybersicherheitstechnischer Sicht etwas genauer analysieren.<\/p>\n

Spieglein Spieglein an der Wand<\/h2>\n

Die Geschichte beginnt mit einem K\u00f6nig, der bei der Geburt seiner Tochter zum Witwer wird. Bald findet er eine neue K\u00f6nigin, die \u00fcber einen magischen Wandspiegel verf\u00fcgt, der all ihre Fragen beantwortet. Sie fragt den Spiegel:<\/p>\n

Spieglein, Spieglein an der Wand<\/em><\/p>\n

Wer ist die Sch\u00f6nste im ganzen Land?<\/em><\/p>\n

F\u00fcr Leser in der Vergangenheit klang dieser Satz vermutlich deutlich seltsamer, als es heute der Fall sein w\u00fcrde. Heutzutage h\u00f6rt sich \u201eSpieglein, Spieglein an der Wand\u201c \u00e4hnlich wie die Floskeln an, mit denen wir mit unserem digitalen Assistenten kommunizieren (\u201eOK\u201c, \u201eGoogle\u201c oder \u201eHey, Siri\u201c). Im Grunde genommen unterscheidet sich der magische Spiegel nicht so sehr von Ihrem allt\u00e4glichen Smart-TV mit integriertem Sprachassistenten.<\/p>\n

Die Antworten des Spiegels zeigen jedoch, dass er direkten Zugriff auf eine Datenbank aller Bewohner des K\u00f6nigreichs hat. Wir sprechen hier von Dokumenten, Biometrie oder wie auch immer Sie es nennen wollen. Dar\u00fcber hinaus kann dieser Sprachassistent anhand der Daten \u00fcber ein subjektives Konzept wie Sch\u00f6nheit urteilen. Der Zauberspiegel muss demnach mit fortschrittlichen Technologien f\u00fcr maschinelles Lernen ausgestattet sein.<\/p>\n

Die Stiefmutter und ihre APTs: Operation \u201eKorsettschnur\u201c und \u201eKamm\u201c<\/h2>\n

Kommen wir zur Diskussion des Hauptereignisses. Vergessen Sie n\u00e4mlich nicht die Premisse der Geschichte: die b\u00f6se Stiefmutter m\u00f6chte ihre Konkurrenz loswerden. Regierungsagenten verfolgen Schneewittchen und zwingen sie auf diese Weise, in den Wald zu fl\u00fcchten, wo sie auf die Zwerge trifft.<\/p>\n

Die Zwerge besch\u00fctzen das fl\u00fcchtige M\u00e4dchen. Diese arbeiten jedoch in einer Mine weshalb sie Schneewittchen tags\u00fcber nicht besch\u00fctzen k\u00f6nnen. Nat\u00fcrlich geben die Br\u00fcder Grimm nicht alle Details an, z. B. wo sie ihre Ausr\u00fcstung aufbewahren, welche Kryptow\u00e4hrung sie abbauen und woher sie ihren Strom beziehen. Aber den Tatsachen zu urteilen, dass sie sich daf\u00fcr entscheiden, an einem abgelegenen Ort im Wald zu graben, wirft kein legales Licht auf ihre T\u00e4tigkeit.<\/p>\n

Schafft es Schneewittchen, in ihrem Versteck unentdeckt zu bleiben? Nein. Der allwissende Spiegel sagt der K\u00f6nigin nicht nur, dass Schneewittchen am Leben ist, sondern \u00fcbermittelt ihr auch ziemlich genau ihren Standort (\u201ejenseits der Berge mit den sieben Zwergen\u201c). Sobald die Stiefmutter gen\u00fcgend Informationen gesammelt hat, beschlie\u00dft sie, einen zielgerichteten Angriff auf ihre eigene Stieftochter zu organisieren. Sie nimmt das Gesicht einer alten Verk\u00e4uferin an, um Korsettschn\u00fcre an Schneewittchen zu verkaufen, und benutzt diese dann, um Schneewittchens Korsett so fest zu schn\u00fcren, dass das M\u00e4dchen tot zu Boden f\u00e4llt.<\/p>\n

Gl\u00fccklicherweise l\u00f6sen die Zwerge das Korsett, um Schneewittchen wiederzubeleben. Dies ist eine metaphorische Beschreibung der Funktionsweise von Blocker-Malware. Dieser Typ von Blocker-Malware sperrt ein Ger\u00e4t und verhindert den Benutzerzugriff (normalerweise, um ein L\u00f6segeld zu verlangen, manchmal jedoch auch zu Sabotagezwecken). Unter den Zwergen muss sich jedoch ein kompetenter Experte befunden haben, der es geschafft hat, den Angriff fast augenblicklich zu neutralisieren.<\/p>\n

Lernt die Stiefmutter ihre Lektion und gibt auf? Nein. Als sie herausfindet, dass ihr Angriff fehlgeschlagen ist, nimmt sie eine weitere \u00c4nderung an derselben Malware vor. Dieses Mal beschlie\u00dft sie, einen Kamm zu verwenden. Zum Gl\u00fcck der b\u00f6sen Stiefmutter hat Schneewittchen nichts aus ihrer Erfahrung gelernt, und sie zeigt das gleiche blinde Vertrauen wie zuvor, als sie einen Kamm von einer unbekannten Verk\u00e4uferin und in ihr Haar steckt. Auch in diesem Fall entfernen die Zwerge erneut die Blockerinfektion.<\/p>\n

Ein infizierter \u201eApfel\u201c<\/h2>\n

Deshalb bereitet die Stiefmutter die dritte Welle ihres zielgerichteten Angriffs\u00a0 deutlich sorgf\u00e4ltiger vor und erstellt ein Ger\u00e4t, das Schneewittchen dauerhaft deaktiviert, wenn es mit ihr verbunden ist. Diesmal ist es ein Apfel.<\/p>\n

(Nicht umsonst haben sich die Br\u00fcder Grimm f\u00fcr einen Apfel entschieden. Vielleicht wollten sie wirklich sagen, dass es keine umfassenden Sicherheitsl\u00f6sungen f\u00fcr iOS-Ger\u00e4te gibt <\/a>, obwohl wir uns nicht sicher sind, ob sie tats\u00e4chlich so<\/em> vorausschauend waren. Oder vielleicht wollten sie ihre Leser einfach nicht verwirren; schlie\u00dflich h\u00e4tte eine gew\u00f6hnliche Frau im Mittelalter, bei dem Versuch, ein Android-Ger\u00e4t zu verkaufen, ziemlich seltsam ausgesehen.)<\/p>\n

In der Zwischenzeit m\u00fcssen die Zwerge ein Cybersicherheitstraining mit Schneewittchen durchgef\u00fchrt haben. Denn als ihre Stiefmutter erneut verkleidet bei ihr vorbeischaut, sagt ihr das M\u00e4dchen, dass die Zwerge ihr verboten h\u00e4tten, irgendjemanden hereinzulassen. Doch das Training allein reichte offensichtlich nicht aus, denn als Schneewittchen die B\u00e4uerin in den Apfel bei\u00dfen sieht, glaubt sie an das Gute in der alten Frau, bei\u00dft daraufhin auch in ihren Apfel und wird infolgedessen bewusstlos.<\/p>\n

Diesmal scheint es f\u00fcr die Zwerge keine M\u00f6glichkeit zu geben, die Malware zu besiegen und erkl\u00e4ren Schneewittchen f\u00fcr tot. Dies zeigt deutlich, wie Kryptomalware funktioniert. Es macht Daten unzug\u00e4nglich und in vielen F\u00e4llen k\u00f6nnen die Eigent\u00fcmer der Daten die Aktionen der Malware nicht wieder r\u00fcckg\u00e4ngig machen.<\/p>\n

Die Zwerge befolgen jedoch jegliche Best Practices und legen sie in einen Glassarg, in der Hoffnung, dass eines Tages ein Entschl\u00fcsselungsdienstprogramm erscheint. Und tats\u00e4chlich kommt nach einiger Zeit ein wandernder Informationssicherheitsexperte namens \u201ePrinz\u201c vorbei. Nach einigen Manipulationen an dem Sarg findet er das vergiftete Apfelst\u00fcck (offenbar m\u00f6chten die Br\u00fcder Grimm hier andeuten, dass der Prinz den Entschl\u00fcsselungsschl\u00fcssel gefunden hat) und Schneewittchen wird erneut zum Leben erweckt.<\/p>\n

Und wenn Sie nicht gestorben sind, dann leben sie noch heute.<\/p>\n

Und die Moral von der Geschicht\u2018<\/h2>\n

Was kann dieses M\u00e4rchen Kindern beibringen? Hier sind unsere Schlussfolgerungen:<\/p>\n