Historie malwaru, od žertů po jadernou sabotáž

Od úsvitu moderní výpočetní techniky byl software stejně schopný jako programátoři, kteří jej vytvořili. Jejich záměry se staly jeho schopnostmi, a to nám přineslo svět úžasných a výkonných aplikací napříč širokou škálou platforem a médií. Zároveň to také vede k vytvoření neuvěřitelně škodlivého a v některých případech přímo nebezpečného softwaru. Mluvíme samozřejmě o malwaru.

Všichni jsme se někdy setkali s malwarem. Možná jste byli spamováni během rozkvětu adwaru a vyskakovacích oken, čelili jste odpornému trojskému koni který se pokusil ukrást vaši identitu nebo se dokonce vypořádal s vydíráním, které paralyzovalo systém ransomware. Dnes jsou miliony a miliony jedinečných programů navrženy tak, aby se zaměřovaly na váš systém, vaše soubory a vaši peněženku. I když mají všechny různé stopy a trajektorie, všechny mají své kořeny ve skromných začátcích.

Abyste porozuměli malwaru, musíte se vrátit k prvotní digitální polévce, která se jednoho dne vyvine v miliony škodlivých programů, kterým dnes čelíme. Toto je historie malwaru a technik používaných po desetiletí k boji proti němu.

Nevinný porod

Moderní svět čelí hackování zločinců a národních států, které by mohly ohrozit způsob života každého. Přesto byly rané dny malwaru bez škodlivého kódu. Tehdy bylo záměrem vidět, co je s počítačem skutečně možné, ne ubližovat, krást nebo manipulovat.

Myšlenka na virus nebo sebereplikující řetězec kódu byla poprvé vytvořena počítačovým vizionářem John von Neumman. V roce 1949 postuloval potenciál pro „samoreprodukující se automaty“, které by byly schopny předat své programování nové verzi sebe sama.

„Jsem Creeper:
Chyť mě, jestli to dokážeš.'

Prvním známým zaznamenaným případem počítačového viru byl Creeper Worm vyvinutý Robertem H. Thomas v roce 1971. První iterace Creeperu se nemohla klonovat, ale dokázala se přesunout z jednoho systému do druhého. Potom by se zobrazila zpráva: ‚Jsem Creeper: Chyť mě, jestli to dokážeš.‘

I když se zdá pravděpodobné, že první sebereplikující kód a jeho tvůrce jsou ztraceni, první zaznamenanou instancí takového softwaru je Creeper Worm, vyvinutý Robertem H. Thomas v roce 1971 ve společnosti BBN Technologies. Creeper běžel na operačním systému TENEX a byl na svou dobu působivě propracovaný. Na rozdíl od mnoha svých nástupců, kteří by k rozprostření své užitečné zátěže vyžadovali fyzická média, byl Creeper schopen přecházet mezi PDP-10 DEC. sálové počítače přes nejranější iteraci ARPANETu, předchůdce sítě internetu, kterou svět přijme později let. První iterace Creeperu se nemohla klonovat, ale dokázala se přesunout z jednoho systému do druhého. Poté by se zobrazila zpráva: „Jsem Creeper: Chyť mě, jestli to dokážeš.

Novou verzi Creeperu později vytvořil Thomasův kolega z BBN Technologies, Ray Thomlinson – známější jako vynálezce e-mailu. Sám se duplikoval, což vedlo k včasnému pochopení problému, který takové viry nebo červi mohou způsobit. Jak je ovládáte, když je pošlete? Nakonec Thomlinson vytvořil další program nazvaný Reaper, který se pohyboval po síti a vymazal všechny nalezené kopie Creeper. Thomlinson to nevěděl, ale vytvořil úplně první kus antivirový software, čímž začal závod ve zbrojení mezi hackery a bezpečnostními profesionály která trvá dodnes.

Creeper, ačkoli se ve své zprávě vysmíval, nebyl navržen tak, aby způsoboval systému problémy. Vlastně jako sám Thomlinson vysvětlil historikovi výpočetní techniky Georgei Dalakobovi, „Aplikace Creeper nevyužívala nedostatek operačního systému. Výzkumné úsilí bylo zamýšleno vyvinout mechanismy pro přenos aplikací na jiné stroje se záměrem přesunout aplikaci na nejefektivnější počítač pro daný úkol.

Vrcholy a prohlubně

V letech, které následovaly po rozšíření a následném odstranění viru Creeper z těchto starověkých sálových systémů, se objevilo několik dalších částí malwaru, které tento nápad opakovaly. Samoreplikující se králičí virus byl vytvořen neznámým – ale údajně velmi vyhozený – programátor v roce 1974 a krátce poté jej následoval Zvířecí virus, která měla podobu kvízové ​​hry.

Tvorba malwaru pak prošla jedním ze svých periodických vývojových období sucha. To vše se ale změnilo v roce 1982, kdy se objevil Elk Cloner, a začala se zvedat nová vlna virů.

"S vynálezem PC začali lidé psát viry pro boot sektor, které se šířily na disketách," Zónový alarm Skyler King řekla Digital Trends. "Lidé, kteří pirátili hry nebo je sdíleli na disketách [byli infikováni]."

Elk Cloner byl první, kdo použil tento útočný vektor, i když byl zcela neškodný a nepředpokládalo se, že by se rozšířil daleko. Jeho plášť byl sebrán o čtyři roky později virem Brain. Tento software byl technicky protipirátským opatřením vytvořili dva pákistánští bratři, ačkoli to mělo za následek, že některé infikované disky byly nepoužitelné kvůli chybám vypršení časového limitu.

"Byly to první viry, jak bychom je považovali," řekl King. "A šířili se tak, že když vložíte disketu, mohli se na ni zkopírovat a šířit tímto způsobem." Změna vektoru útoku bylo pozoruhodné, protože zacílení na systém z jiného úhlu by se v letech stalo charakteristickým znakem nového malwaru následoval.

„Věci se tak trochu přesunuly na stranu Unixu s běžným používáním internetu a univerzit červ Morris v listopadu 1988,“ pokračoval King. "To bylo zajímavé, protože Morrisův červ byl [napsaný] synem šéfa NSA […] Našel chybu ve dvou protokolech, které byly použity v Unixu. Chyba v SMTP, poštovním protokolu, který vám umožňoval posílat e-maily, [byla zvyklá] ji šířit a během jednoho dne svrhla internet, jak existoval v roce 1988.“

Červ Morris byl údajně původně navržen tak, aby mapoval internet, ale bombardoval počítače provozem a četné infekce je mohlo zpomalit k procházení. Nakonec se mu připisuje svržení asi 6 000 systémů. Robert Morris, tvůrce červa, se stal první osobou, která kdy byla souzena podle zákona o počítačových podvodech a zneužívání z roku 1986. Byl odsouzen na tři roky podmíněně a pokuta 10 050 dolarů. Dnes je Morris aktivním výzkumníkem architektur počítačových sítí a stálý profesor na MIT.

Morris Worm se stal důkazem konceptu pro řadu dalších částí malwaru ze stejného období, které se všechny zaměřovaly na spouštěcí sektory. Odstartovalo to další vlnu ve vývoji virů. Mnoho variant tohoto nápadu bylo shromážděno pod štítkem „Stoned“ s pozoruhodnými položkami jako Whale, Tequila a nechvalně známý Michelangelo, který každoročně vyvolával paniku v organizacích s infikovanými systémy.

Poslední dny léta

V prvních desetiletích své existence byly dokonce i plodné a škodlivé viry relativně neškodné povahy. "Byli to jen lidé, kteří se bavili tím, že se snažili získat pouliční kredit v undergroundové scéně, aby ukázali, co dokážou," řekl King pro Digital Trends.

Obranné metody však byly stále daleko za autory virů. Dokonce i jednoduchý malware jako ILoveYou Worm – který se objevil v roce 2000 – by mohl způsobit bezprecedentní poškození systémů po celém světě.

Malwarebytes“ Viceprezident technologie, Pedro Bustamante, si to dobře pamatuje. „Byl to základní vizuální skript, který byl hromadným mailerem, který automaticky připojoval skript, a [antivirové firmy] tehdy nebyly připraveny provádět mnoho detekce na základě skriptů,“ řekl.

Za stvoření červa je nejčastěji připisován filipínský programátor Onel de Guzman, i když ano vždy popíral vývoj svého útočného vektoru a naznačuje, že mohl červa vypustit nehoda. Některé fámy naznačují skutečným viníkem za jeho vytvořením byl jeho přítel Michael Buen, který oklamal Guzmana, aby ho vydal kvůli milostné rivalitě. Červ ILoveYou způsobil celosvětově škody přes 15 miliard dolarů.

"Na to jsme byli v laboratořích Panda uzavřeni asi tři dny," pokračoval Bustamante. "Lidé nespali. To bylo epicentrum toho hnutí script kiddie, kde kdokoli mohl vytvořit scénář a udělat hromadnou zásilku a mělo by to obrovskou propagaci. Obrovské množství infekcí. To bylo obvykle možné pouze s pokročilým síťovým červem v minulosti.“

Zone Alarm’s King čelil podobně bezesným nocím s nějakým dalším malwarem, který se šířil po celém světě rostoucí internet během té doby, přičemž jako zvláště uvádí Code Red a SQL Slammer problematický.

Zatímco červi a viry si tahali vlasy za vlasy bezpečnostními experty a manažeři společností se báli milionů nebo miliardové škody, které napáchali, nikdo nevěděl, že války s malwarem teprve začínají. Chystali se temnou a nebezpečnou odbočkou.

Už to není hra

Jak používání internetu rostlo, reklamní sítě začaly vydělávat peníze online a dot-coms shrábly peníze investorů. Internet se proměnil z malé komunity, kterou málokdo zná, na rozšířenou, mainstreamovou komunikační cestu a legitimní způsob, jak vydělat miliony dolarů. Následoval motiv malwaru, který se posunul od zvědavosti k chamtivosti.

^{Mapa Kaspersky Cyberthreat v reálném čase ukazuje kybernetické útoky, které právě nyní probíhají po celém světě.}

„Když více lidí začalo používat internet a lidé se dívali na reklamy online, společnosti byly pryč tam vydělávat peníze na kliknutí na reklamy, to je, když jste začali vidět vzestup adwaru a spywaru,“ King pokračoval. „Začali jste vidět viry, které běžely na jednotlivých počítačích a rozesílaly spam, aby se pokusily koupit produkty nebo adware které používaly podvodné klikání, které zobrazovalo reklamy na věci, aby to simulovalo kliknutí na odkaz, takže by to udělaly peníze."

Organizovaný zločin brzy pochopil, že chytří programátoři mohou vydělat zavedené podzemní podniky spoustu peněz. Díky tomu scéna malwaru ztmavla o několik odstínů. Na internetu se začaly objevovat předbalené malwarové sady vytvořené zločineckými organizacemi. Slavné, jako MPack, byly nakonec použity k infikování všeho od jednotlivých domácích systémů až po bankovní sálové počítače. Jejich úroveň sofistikovanosti a propojení se skutečnými zločinci jsou pro bezpečnostní výzkumníky v sázce.

"Objevili jsme MPack v Panda Security a provedli jsme vyšetřování a velký dokument, který byl ve všech zprávách,“ vysvětlil Bustamante z Malwarebytes. „Tehdy jsme začali vidět některé z gangů, které stály za některými z těchto modernějších útoků a malwaru. Bylo to strašidelné. Většina výzkumníků z Pandy uvedla, že nechtějí, aby se jejich jméno nikde u zprávy uvádělo.

Ale zpráva byla zveřejněna a zdůraznila, jak hluboko se malware a organizované zločinecké gangy staly.

„Bylo to hodně ruských gangů. Měli jsme fotky z jejich setkání. Bylo to jako společnost,“ řekl Bustamante. „Měli lidi, kteří dělali marketing, manažery, firemní setkání, soutěže pro programátory, kteří napsali nejlepší malware, sledovali pobočky, měli všechno. Bylo to úžasné. Vydělávali víc peněz než my."

Tyto peníze byly sdíleny s talentovanými programátory, což zajistilo, že organizace přilákaly ty nejlepší talenty, jaké mohly. "Začali jsme vídat obrázky mafiánských chlapů z východní Evropy, kteří rozdávali luxusní auta programátorům a kufry plné peněz," řekl.

Zranitelnosti zneužity

Honba za ziskem vede k sofistikovanějšímu malwaru a novým vektorům útoků. The Malware Zeus, který se objevil v roce 2006, použil základní sociální inženýrství, aby přiměl lidi, aby klikli na e-mailové odkazy, nakonec nechal tvůrce ukrást obětem přihlašovací údaje, finanční údaje, PIN kódy a více. Usnadnil dokonce takzvané „muž v prohlížeči“, útoky, kdy malware může vyžadovat bezpečnostní informace v okamžiku přihlášení, čímž od obětí získává ještě více informací.

Ti, kteří vytvořili malware, se také dozvěděli, že tento software nemusí používat sami a mohou jej jednoduše prodat ostatním. Dokonalým příkladem byla sada MPack Bustamante, se kterou se v polovině 20. století setkala společnost Panda Security. Od svého raného vytvoření byl měsíc co měsíc aktualizován a pravidelně prodáván. Dokonce i údajný autor Zeus, ruský narozený Jevgenij Michajlovič Bogačev, začal prodávat svůj malware, než předal kontrolu nad malwarovou platformou Zeus jinému programátorovi. Dnes je stále na svobodě. FBI má odměnu za informace vedoucí k Bogačovově zatčení, nabízí až 3 miliony dolarů komukoli, kdo ho může pomoci chytit.

Prodej předem zabaleného malwaru tak, jak to dělal Bogachev, znamenal další posun ve vytváření malwaru. Nyní, když malware mohl být použit k vydělávání peněz a autoři virů mohli vydělávat peníze jeho prodejem jako nástroje, stal se profesionálnějším. Malware byl vytvořen do produktu, běžně nazývaného exploit kit.

"Bylo to opravdu prodáno jako obchod," řekl King Zone Alarm pro Digital Trends. "[Nabízeli] podporu, aktualizace softwaru na nejnovější exploity, bylo to docela úžasné."

Do roku 2007 se každý rok vytvářelo více malwaru, než existovalo v celé historii malwaru, a masové útoky na stále rostoucí počet počítačů poháněly podnikání. To podnítilo vzestup rozsáhlé botnety které byly nabídnuty k pronájmu těm, kteří si přejí provádět útoky odmítnutí služby. Ale koncoví uživatelé mohli být tak dlouho oklamáni, aby klikali na odkazy. Jak byli vzdělanější, exploit kity a jejich autoři se potřebovali znovu vyvinout.

„[Autoři malwaru] museli vymyslet způsob, jak hrozbu nainstalovat automaticky,“ řekl pro Digital Trends CEO MalwareBytes Marcin Kleczynski. "Tady se techniky využívání, sociální inženýrství a makra v Powerpointu a Excelu začaly stávat mnohem sofistikovanějšími."

Naštěstí pro autory malwaru začaly webové stránky a offline software přijímat principy Web 2.0. Interakce s uživatelem a tvorba komplexního obsahu byly stále více rozšířené. Aby se autoři malwaru přizpůsobili, začali cílit internet Explorer, aplikace Office a Adobe Reader a mnoho dalších.

„Čím je software složitější, tím více toho dokáže, čím více inženýrů na něm pracuje […], tím je software náchylnější k chybám a časem najdete více zranitelností,“ řekl Kleczynski. "S tím, jak se software stává složitějším a vzniká Web 2.0 a Windows se neustále vyvíjejí, je stále složitější a zranitelnější vůči vnějšímu světu."

V roce 2010 se zdálo, že neziskový malware téměř vymřel, přičemž téměř výhradní motivací pro jeho vytvoření byl zisk. To, jak se ukázalo, bylo špatně. Svět se náhle dozvěděl, že organizovaný zločin není nic ve srovnání s nejnebezpečnějším malwarem, vytvořeným v tajnosti národy.

Digitální válka

Prvním příkladem národa, který ohýbal svou vojenskou sílu online, byl Aurora útok na Google. Vyhledávací gigant, který je dlouhodobě jednou z nejprominentnějších digitálních entit na světě, se na konci roku 2009 ocitl pod neustálým útokem hackerů s vazbami na Čínskou osvobozeneckou armádu. Když se o něm v lednu 2010 dozvěděl zbytek světa, znamenalo to zlomový bod v tom, čeho odborníci, jak si uvědomili, malware a jeho autoři dokázali.

Útok byl zaměřen na desítky špičkové technologické firmy jako Adobe, Rackspace a Symantec a byly považovány za pokus o úpravu zdrojového kódu různých softwarových sad. Pozdější zprávy naznačovaly, že to byl a operace čínské kontrarozvědky k odhalení cílů odposlechů v USA. Jakkoli byl tento útok ambiciózní a působivý, byl překonán o několik měsíců později.

"Kočka opravdu vylezla z pytle." se Stuxnetem,Bustamante řekl Digital Trends. „Před tím […] jste to mohli vidět na určitých útocích a na věcech, jako je Pákistán, indický internet podmořský kácení, [ale] Stuxnet je místo, kde sračky zasáhly ventilátor a všichni začali šílet ven."

Stuxnet byl postaven, aby sabotoval íránský jaderný program, a fungoval. Dokonce i nyní, osm let po jeho objevení, bezpečnostní profesionálové mluví o Stuxnetu s úžasem. „Spojení několika zranitelností nultého dne, skutečně pokročilé zaměření na konkrétní jaderná zařízení. Je to úžasné,“ řekl Bustamante. "Je to typ věcí, které byste viděli jen v románu."

Kleczynski byl stejně ohromen. „[…] pokud se podíváte na exploity používané pro ofenzivní schopnosti kybernetické bezpečnosti, bylo to zatraceně dobré. Jak to šlo po počítačích s programovatelnou logikou Siemens? Bylo krásně navrženo tak, aby zničilo centrifugy.“

Ačkoli se v následujících letech nikdo nepřihlásil k odpovědnosti za Stuxnet, většina bezpečnostních výzkumníků si myslí, že jde o práci spojené americko-izraelské pracovní skupiny. To se zdálo pravděpodobnější, až když jiná odhalení, jako Hackování firmwaru pevného disku NSA, ukázal skutečný potenciál hackerů národního státu.

Styl útoku Stuxnet se brzy stal běžným. Exploit kity byly i v následujících letech hlavním útočným vektorem, ale jak nám Bustamante řekl v našem V rozhovoru, zero-day zranitelnosti spojené dohromady jsou nyní něco, co Malwarebytes a jeho současníci vidí každý den.

To není vše, co vidí. Existuje nový fenomén s původem, který lze vysledovat téměř na začátek našeho příběhu. V poslední době to nezpůsobilo žádné potíže a může to tak být i v budoucnu.

Vaše peníze nebo vaše soubory

Úplně první útok ransomwaru se technicky stal již v roce 1989, s Trojan AIDS. Malware, který byl odeslán výzkumníkům AIDS na infikované disketě, by čekal, až bude systém nabootován 90krát před zašifrováním souborů a požadavkem platby 189 USD v hotovosti, zaslané na adresu PO Box v Panama.

Ačkoli se tento malware v té době nazýval trojský kůň, myšlenka násilného zamlžování souborů, odpírání uživateli Klíčovými součástmi se staly přístup k jejich vlastnímu systému a vyžadování nějaké formy platby za jeho návrat do normálu ransomware. Začalo se znovu objevovat v polovině 00. let, ale bylo růst anonymní kryptoměny bitcoin díky kterému se ransomware stal běžným.

„Pokud někoho nakazíte ransomwarem a požádáte ho, aby vložil peníze na bankovní účet, tento účet bude velmi rychle uzavřen,“ vysvětlil král Zone Alarm. „Pokud ale někoho požádáte, aby vložil nějaké bitcoiny do peněženky, spotřebitelé zaplatí. Opravdu neexistuje způsob, jak to zastavit."

Vzhledem k tomu, jak obtížné je regulovat bitcoiny v každodenních funkcích s legitimním používáním, dává smysl, že zabránit tomu, aby je zneužívali zločinci, je ještě důležitější. Zejména proto, že lidé platí výkupné. Stejně jako u exploit kitů a podnikové struktury, která je podporuje, vývojáři ransomwaru obětem maximálně usnadňují nákup kryptoměny a její zaslání.

Ale ve druhé polovině dospívajících let 21^Svatý století jsme začali vidět další vývoj těchto taktik, protože ti, kdo píší škodlivý software, opět následovali peníze.

„Co mě na ransomwaru překvapilo, je to, jak rychle se dostal od vás a mě k našim společnostem,“ řekl Kleczynski. „Před rokem nebo dvěma jsme to byli my, kdo se nakazil, ne Malwarebytes, ne SAP, Oracle a tak dále. Jasně viděli peníze a společnosti jsou ochotny je zaplatit."

Co bude dál?

Pro většinu odborníků, se kterými jsme hovořili, ransomware je i nadále velkou hrozbou se zabývají. Zone Alarm’s King s nadšením hovořil o nových ochranách jeho společnosti proti ransomwaru a o tom, jak si podniky musí být vědomy toho, jak nebezpečná je tato taktika.

Kleczynski to vidí jako nesmírně ziskový model pro autory malwaru, zvláště když přivedete nárůst infikovaných zařízení internetu věcí, která tvoří některé největší botnety, jaké kdy svět viděl.

^{Timelapse DDoS útoku, který se odehrál v roce 2015 na Štědrý den.}

Jako příklad použil web British Airways a položil řečnickou otázku, jak moc by se této společnosti vyplatilo udržovat svůj online systém prodeje letenek, pokud by bylo ohroženo. Byla by taková společnost ochotna zaplatit vyděrači 50 000 dolarů, pokud by její webové stránky vypadly byť jen na pár hodin? Zaplatilo by 10 000 dolarů při pouhé hrozbě takového jednání?

Vzhledem k potenciálu ztratit miliony na tržbách nebo dokonce miliardy na tržní hodnotě, pokud by ceny akcií reagovaly na takový útok, není těžké si představit svět, kde je to pravidelný jev. Pro Kleczynského je to jen starý svět, který konečně dohání nový. Je to včerejší taktika organizovaného zločinu aplikovaná na moderní svět.

„Tohle bývalo jen vydírání. „Chtěl byste si sjednat nějaké pojištění proti požáru? Byla by škoda, kdyby se s vaší budovou něco stalo,“ řekl. „Dnes je to ‚chtěli byste si koupit nějaké pojištění ransomwaru? Byla by škoda, kdyby váš web na 24 hodin nefungoval.“

Toto kriminální zapojení stále děsí MalwareBytes' Bustamante, který nám říká, že společnost pravidelně vidí hrozby pro své vývojáře skryté v malwarovém kódu.

Přestože on a společnost mají obavy o svou vlastní osobní bezpečnost, vidí další vlnu jako něco víc než jen ransomware. Chápe to jako útok na naši schopnost vnímat svět kolem nás.

"Pokud se mě ptáte, jaká je další vlna, jsou to falešné zprávy," řekl. „Škodlivá reklama se posunula dál […], nyní je to clickbait a falešné zprávy. Šíření tohoto druhu zpráv je název hry a bude to další velká vlna." Vzhledem k tomu, jak Zdá se, že zapojené národní státy byly v této praxi v posledních letech je těžké si představit, že se mýlí.

Stejně hrozivé, jako jsou malwarové útoky organizovaného zločinu, vládou sponzorovaní hlídači a militarizovaní hackeři, ujištění, které můžete přijmout v takové době nejistoty, je, že nejslabším článkem v řetězci zabezpečení je téměř vždy konec uživatel. To jsi ty..

Je to děsivé, ale také posilující. To znamená, že ačkoli lidé píší malware, vektory útoku a samotný důvod jeho vytvoření viry a trojské koně se v první řadě mohly změnit, nejlepší způsoby, jak zůstat v bezpečí online, jsou staré způsoby. Udržujte silná hesla. Opravte svůj software. A buďte opatrní, na jaké odkazy klikáte.

Jak nám Malwarebytes Klecyzinski řekl po našem rozhovoru: "Pokud nejste paranoidní, nepřežijete."

Doporučení redakce

• Společnost Microsoft vám právě poskytla nový způsob, jak zůstat v bezpečí před viry
• Hackeři používají ukradené certifikáty Nvidia ke skrytí malwaru