Malwares historie, fra pranks til atomsabotage

Siden begyndelsen af ​​moderne computing har software været lige så dygtig som de programmører, der skabte den. Deres intentioner blev dens muligheder, og det har bragt os en verden af ​​vidunderlige og kraftfulde applikationer på tværs af en bred vifte af platforme og medier. Undervejs har det også ført til skabelsen af ​​utroligt ondsindet og i nogle tilfælde direkte farlig software. Vi taler selvfølgelig om malware.

Vi er alle stødt på malware på et tidspunkt. Du er muligvis blevet spammet under adwares og popups storhedstid, konfronteret med en grim trojaner der forsøgte at stjæle din identitet, eller endda håndterede et systemlammende stykke afpresning ransomware. I dag er millioner og atter millioner af unikke programmer designet til at målrette dit system, dine filer og din tegnebog. Mens de alle har forskellige fodspor og baner, har de alle deres rødder i en ydmyg begyndelse.

For at forstå malware skal du vende tilbage til den digitale ursuppe, der en dag ville udvikle sig til de millioner af uhyggelige programmer, vi står over for i dag. Dette er historien om malware og de teknikker, der er brugt gennem årtier til at bekæmpe det.

En uskyldig fødsel

Den moderne verden står over for kriminel og nationalstatshacking, der kan true alles livsstil. Alligevel var de tidlige dage med malware fri for ondskab. Dengang var hensigten at se, hvad der virkelig var muligt med computere, ikke at skade, stjæle eller manipulere.

Idéen til en virus eller en selvreplikerende kodestreng blev først opfundet af computervisionær John Von Neumman. I 1949 postulerede han potentialet for en "selv-reproducerende automat", der ville være i stand til at videregive sin programmering til en ny version af sig selv.

'Jeg er krybmanden:
Fang mig hvis du kan.'

Det første kendte registrerede tilfælde af en computervirus var Creeper Worm, udviklet af Robert H. Thomas i 1971. Den første iteration af Creeper kunne ikke klone sig selv, men den var i stand til at flytte fra et system til et andet. Det ville derefter vise beskeden, 'Jeg er slyngplanten: Fang mig, hvis du kan.'

Selvom det forekommer sandsynligt, at den første selvreplikerende kode og dens skaber er gået tabt, er den første registrerede forekomst af sådan software Creeper Worm, udviklet af Robert H. Thomas i 1971 hos BBN Technologies. Creeper kørte på TENEX-operativsystemet og var imponerende sofistikeret for sin tid. I modsætning til mange af dets efterfølgere, som ville kræve fysiske medier for at sprede deres nyttelast, var Creeper i stand til at flytte mellem DEC's PDP-10 mainframe-computere over den tidligste iteration af ARPANET, et stamnetværk af internettet, som verden senere ville komme til at adoptere flere år. Den første iteration af Creeper kunne ikke klone sig selv, men den var i stand til at flytte fra et system til et andet. Det ville derefter vise beskeden, "Jeg er slyngplanten: Fang mig, hvis du kan."

En ny version af Creeper blev senere skabt af Thomas' kollega hos BBN Technologies, Ray Thomlinson – bedre kendt som opfinderen af ​​e-mail. Det duplikerede sig selv, hvilket førte til en tidlig forståelse af problemet, som sådanne vira eller orme kunne forårsage. Hvordan kontrollerer du dem, når du sender dem afsted? Til sidst skabte Thomlinson et andet program kaldet Reaper, som flyttede rundt på netværket og slettede alle kopier af Creeper, den fandt. Thomlinson vidste det ikke, men han havde skabt det allerførste stykke af anti-virus software, der starter et våbenkapløb mellem hackere og sikkerhedsprofessionelle der fortsætter den dag i dag.

Selvom Creeper håner i sin besked, var den ikke designet til at forårsage problemer for systemet. Faktisk som Thomlinson selv forklaret til datahistoriker, Georgei Dalakob, "Creeper-applikationen udnyttede ikke en mangel i operativsystemet. Forskningsindsatsen havde til formål at udvikle mekanismer til at bringe applikationer til andre maskiner med intention om at flytte applikationen til den mest effektive computer til dens opgave."

Toppe og trug

I årene, der fulgte spredningen og den efterfølgende sletning af Creeper-virussen fra disse gamle mainframe-systemer, dukkede et par andre stykker malware op og gentog ideen. Den selvreplikerende kaninvirus blev skabt af en ukendt - men angiveligt meget fyret – programmør i 1974, og blev kort efter fulgt af Dyrevirus, som tog form af et quizspil.

Malware-oprettelse gik derefter igennem en af ​​dens periodiske udviklingstørke. Men det hele ændrede sig i 1982, da Elk Cloner dukkede op, og en ny bølge af vira begyndte at stige.

"Med opfindelsen af ​​pc'en begyndte folk at skrive bootsektorvirus, der blev spredt på disketter," Zone alarmer Skyler King fortalte Digital Trends. "Folk, der piraterede spil eller delte dem på disketter [blev inficeret]."

Elk Cloner var den første til at bruge den angrebsvektor, selvom den var fuldstændig godartet og ikke menes at have spredt sig langt. Dens kappe blev samlet fire år senere op af hjernevirussen. Det stykke software var teknisk set en foranstaltning mod piratkopiering skabt af to pakistanske brødre, selvom det havde den effekt, at nogle inficerede diske blev ubrugelige på grund af timeout-fejl.

"Det var lidt af de første vira, som vi ville betragte dem," sagde King. "Og de forplantede sig, så hvis du lagde en diskette i, kunne de kopiere til den og sprede den på den måde." Ændringen i angrebsvektor var bemærkelsesværdigt, fordi målretning af et system fra en anden vinkel ville blive kendetegnende for ny malware i årene, som fulgte.

"Tingene skiftede på en måde over på Unix-siden med den almindelige brug af internettet og universiteter, som f.eks Morris-ormen i november 1988,” fortsatte King. "Det var interessant, for Morris-ormen var [skrevet af] søn af lederen af ​​NSA […] Han fandt en fejl i to protokoller, der blev brugt i Unix. Fejlen i SMTP, mail-protokollen, der gjorde det muligt for dig at sende e-mail, [blev brugt til] at udbrede det, og inden for en dag fjernede det internettet, som det eksisterede i 1988.

Morris-ormen blev efter sigende oprindeligt designet til at kortlægge internettet, men den bombarderede computere med trafik, og flere infektioner kunne bremse dem til at kravle. Det er i sidste ende krediteret med at nedbringe omkring 6.000 systemer. Robert Morris, ormens skaber, blev den første person, der nogensinde blev prøvet under Computer Fraud and Abuse Act af 1986. Han blev idømt tre års betinget fængsel og en bøde på 10.050 USD. I dag er Morris en aktiv forsker af computernetværksarkitekturer og ansat professor ved MIT.

Morris-ormen blev proof of concept for en række andre stykker malware fra samme periode, som alle var målrettet opstartssektorer. Det startede den næste bølge i virusudvikling. Mange varianter af den idé blev samlet under etiketten "Stoned", med bemærkelsesværdige poster som Whale, Tequila og den berygtede Michelangelo, som årligt skabte panik i organisationer med inficerede systemer.

Sommerens sidste dage

I de første årtier af deres eksistens var selv de produktive og skadelige vira af relativt godartet design. "De var bare folk, der havde det sjovt med at prøve at få street cred i undergrundsscenen for at vise, hvad de kunne," sagde King til Digital Trends.

Defensive metoder var dog stadig langt bagefter virusskribenterne. Selv simpel malware som ILoveYou Worm - der dukkede op i år 2000 - kunne forårsage hidtil uset skade på systemer verden over.

Malwarebytes' Vicedirektør for teknologi, Pedro Bustamante, husker det godt. "Det var et visuelt grundlæggende script, der var en massemailer, der automatisk ville vedhæfte et script, og [antivirusfirmaerne] var ikke klar til at lave en masse script baseret detektion dengang," sagde han.

Den filippinske programmør Onel de Guzman er oftest krediteret med ormens skabelse, selvom han har altid nægtet at udvikle dens angrebsvektor og antyder, at han muligvis har sluppet ormen af ulykke. Nogle rygter tyder på den virkelige skyldige bag oprettelsen var en af ​​hans ven, Michael Buen, som narrede Guzman til at udgive den på grund af en kærlighedsrivalisering. ILoveYou-ormen forårsagede over $15 milliarder i skade globalt.

"Vi var låst i Panda-laboratorier i tre dage for den," fortsatte Bustamante. "Folk sov ikke. Det var epicentret for den script-kiddie-bevægelse, hvor enhver kunne skabe et script og lave en massepost, og det ville have en enorm udbredelse. Massivt antal infektioner. Det var typisk kun muligt med en avanceret netværksorm dengang."

Zone Alarm's King stod over for lignende søvnløse nætter med noget anden malware, der spredte sig over hele landet voksende internet i løbet af den tid, og citerer som Code Red og SQL Slammer som særligt problematisk.

Mens orme og vira fik sikkerhedseksperter til at trække håret ud, og virksomhedsledere var bange for millioner eller milliarder af dollars i skade, de gjorde, ingen vidste, at malware-krigene kun lige var begyndt. De var ved at tage en mørk og farlig drejning.

Ikke længere et spil

Efterhånden som internetbrugen voksede, begyndte reklamenetværk at tjene penge online, og dot-coms skaffede investorkontanter. Internettet forvandlede sig fra et lille samfund kendt af få til en udbredt, mainstream kommunikationsvej og en legitim måde at tjene millioner af dollars på. Motivet for malware fulgte, og skiftede fra nysgerrighed til grådighed.

^{Kaspersky Cybertthreat-kort i realtid viser cyberangreb, der finder sted lige nu i hele verden.}

"Da flere begyndte at bruge internettet, og folk kiggede på annoncer online, og virksomhederne var ude der tjener penge på annonceklik, det var da, du begyndte at se stigningen i adware og spyware," King fortsatte. "Du begyndte at se vira, der kørte på individuelle computere, der sendte spam ud for at prøve at købe ind i produkter eller adware der brugte kliksvindel, der viste annoncer for ting, så det ville simulere, at du klikker på linket, så de penge."

Den organiserede kriminalitet indså hurtigt, at kloge programmører kunne tjene mange penge på etablerede undergrundsvirksomheder. Dermed blev malware-scenen flere nuancer mørkere. Færdigpakkede malware-sæt skabt af kriminelle organisationer begyndte at dukke op online. Berømte som MPack blev i sidste ende brugt til at inficere alt fra individuelle hjemmesystemer til bankmainframes. Deres niveau af sofistikering og forbindelse til kriminelle i den virkelige verden øger indsatsen for sikkerhedsforskere.

"Vi opdagede MPack hos Panda Security, og vi lavede en undersøgelse og en stor avis, der var over alt i nyhederne,” forklarede Malwarebytes’ Bustamante. "Det var da, vi begyndte at se nogle af de bander, der stod bag nogle af disse mere moderne angreb og malware. Det var skræmmende. De fleste forskere ved Panda sagde, at de ikke ville have deres navn i nærheden af ​​rapporten."

Men rapporten blev frigivet, og den fremhævede, hvor dybt malware og organiserede kriminelle bander var blevet.

»Det var mange russiske bander. Vi havde billeder af deres sammenkomster. Det var som et firma,” sagde Bustamante. "De havde folk, der lavede marketing, ledere, firmamøder, konkurrencer for programmører, der skrev den bedste malware, sporing af datterselskaber, de havde alt. Det var forbløffende. De tjente flere penge, end vi gjorde."

Disse penge blev delt med talentfulde programmører, hvilket sikrede, at organisationerne tiltrak det bedste talent, de kunne. "Vi begyndte at se billeder af mafia-lignende fyre fra Østeuropa, der gav smarte biler væk til programmørerne og kufferter fulde af penge," sagde han.

Sårbarheder udnyttet

Jagten på profit fører til mere sofistikeret malware og nye angrebsvektorer. Det Zeus malware, som dukkede op i 2006, brugte grundlæggende social engineering til at narre folk til at klikke på e-mail-links, i sidste ende lade skaberen stjæle ofres loginoplysninger, økonomiske detaljer, pinkoder og mere. Det lettede endda såkaldte "mand i browseren", angreb, hvor malware kan anmode om sikkerhedsoplysninger ved login og høste endnu mere information fra ofrene.

De, der skabte malware, lærte også, at de ikke behøvede at bruge softwaren selv og blot kunne sælge den til andre. MPack-sættet Bustamante stødte på hos Panda Security i midten af ​​00'erne var et perfekt eksempel. Den blev opdateret måned til måned siden dens tidlige oprettelse og blev jævnligt videresolgt. Selv den påståede forfatter af Zeus, russisk-fødte Evgeniy Mikhailovich Bogachev, begyndte at sælge sin malware, før han overlod kontrollen over Zeus malware-platformen til en anden programmør. Han er stadig på fri fod i dag. FBI har en dusør på oplysninger, der fører til Bogachevs arrestation, tilbyder så meget som 3 millioner dollars til enhver, der kan hjælpe med at fange ham.

Salg af færdigpakket malware, som Bogachev gjorde, markerede endnu et skift i skabelsen af ​​malware. Nu hvor malware kunne bruges til at tjene penge, og virusskribenter kunne tjene penge på at sælge det som et værktøj, blev det mere professionelt. Malware blev lavet til et produkt, almindeligvis kaldet et udnyttelsessæt.

"Det blev virkelig solgt som en forretning," fortalte Zone Alarm's King til Digital Trends. "De [tilbød] support, softwareopdateringer til de seneste udnyttelser, det var ret fantastisk."

I 2007 blev der skabt mere malware hvert år, end der havde eksisteret i hele malwarens historie, og masseangreb på det stadigt voksende antal computere drev forretningen. Dette ansporede til fremkomsten af store botnets som blev udbudt til leje til dem, der ønskede at udføre lammelsesangreb. Men slutbrugere kunne kun blive narret til at klikke på links så længe. Efterhånden som de blev mere uddannede, var udnyttelsessættene og deres forfattere nødt til at udvikle sig igen.

"[Malware-skribenter] var nødt til at finde på en måde at installere truslen automatisk på," fortalte MalwareBytes CEO Marcin Kleczynski til Digital Trends. "Det var her udnyttelsesteknikkerne, social engineering og makroer i Powerpoint og Excel begyndte at blive meget mere [sofistikeret]."

Heldigvis for malware-forfatterne begyndte websteder og offline-software at vedtage Web 2.0-principperne. Brugerinteraktion og kompleks indholdsskabelse blev langt mere udbredt. For at tilpasse malware begyndte forfattere at målrette Internet Explorer, Office-applikationer og Adobe Reader blandt mange andre.

"Jo mere kompleks software bliver, jo mere kan den gøre, jo flere ingeniører, der arbejder på det […] jo mere fejlagtigt er softwaren, og jo flere sårbarheder vil du finde over tid," sagde Kleczynski. "Efterhånden som software bliver mere kompleks, og Web 2.0 opstod, og Windows fortsatte med at udvikle sig, blev det mere komplekst og mere sårbart over for omverdenen."

I 2010 så det ud til, at ikke-for-profit-malware næsten var uddød, hvor for-profit var den næsten eksklusive motivation for at lave den. Det viste sig, at det var forkert. Verden erfarede pludselig, at organiseret kriminalitet ikke var noget sammenlignet med den farligste malware, skabt i hemmelighed af nationer.

Digital krigsførelse

Det første eksempel på en nation, der bøjer sin militære magt online, var Aurora angreb på Google. Søgegiganten, der længe har været en af ​​verdens mest fremtrædende digitale enheder, befandt sig i slutningen af ​​2009 under vedvarende angreb af hackere med tilknytning til den kinesiske befrielseshær. Da resten af ​​verden lærte om det i januar 2010, markerede det et vendepunkt i, hvad eksperter indså, at malware og dens forfattere var i stand til.

Angrebet var rettet mod snesevis af teknologivirksomheder på højt niveau som Adobe, Rackspace og Symantec, og blev anset for at være et forsøg på at ændre kildekoden til forskellige softwarepakker. Senere rapporter antydede, at det var en Kinesisk kontraefterretningsoperation at opdage amerikanske aflytningsmål. Hvor ambitiøst og imponerende det angreb dog var, blev det overgået blot måneder senere.

“Katten kom virkelig ud af sækken med Stuxnet,” fortalte Bustamante til Digital Trends. "Før det […] kunne man se det i visse angreb og i ting som Pakistan, Indiens internet ved at blive skåret ned under havets overflade, [men] Stuxnet er der, hvor lortet ramte fanen, og alle begyndte at flippe ud."

Stuxnet blev bygget for at sabotere Irans atomprogram, og det virkede. Selv nu, otte år efter dets fremkomst, taler sikkerhedsprofessionelle om Stuxnet med en tone af ærefrygt. "At kæde flere nul-dages sårbarheder sammen, virkelig avanceret målretning af specifikke nukleare anlæg. Det er fantastisk," sagde Bustamante. "Det er den type ting, man kun ville se i en roman."

Kleczynski var lige så imponeret. "[...] hvis du ser på udnyttelser, der bruges til en offensiv cybersikkerhedskapacitet, var det en temmelig god en. Hvordan det gik efter Siemens programmerbare logiske computere? Det var smukt designet til at ødelægge centrifugerne."

Selvom ingen påtog sig ansvaret for Stuxnet i årene efter, mener de fleste sikkerhedsforskere, at det er arbejdet af en kombineret amerikansk-israelsk taskforce. Det virkede kun mere sandsynligt, når andre afsløringer, som f.eks NSA harddisk firmware hacking, viste nationalstatshackernes sande potentiale.

Stuxnet-angrebsstilen ville snart blive almindelig. Udnyttelsessæt fortsatte med at være en stor angrebsvektor i årene efter, men som Bustamante fortalte os i vores interview, zero-day sårbarheder kædet sammen er nu noget, som Malwarebytes og dets samtidige ser hver dag.

Det er ikke alt, de ser. Der er et nyt fænomen med oprindelse, der næsten kan spores tilbage til starten af ​​vores historie. Det har ikke givet ende på problemer på det seneste, og det kan meget vel gøre det i fremtiden.

Dine penge eller dine filer

Det allerførste ransomware-angreb skete teknisk set så langt tilbage som i 1989, med AIDS-trojaneren. Sendt ud til AIDS-forskere på en inficeret diskette, ville malwaren vente på, at systemet blev startet op 90 gange, før du krypterer filer og kræver en betaling på $189 i kontanter, sendt til en postboksadresse i Panama.

Selvom det stykke malware blev kaldt en trojaner på det tidspunkt, var ideen om at tvangsforme filer og nægte en bruger adgang til deres eget system, og at kræve en form for betaling for at få det tilbage til det normale, blev nøglekomponenterne i ransomware. Det begyndte at dukke op igen i midten af ​​00'erne, men det var det væksten af ​​anonym kryptovaluta Bitcoin der gjorde ransomware almindelig.

"Hvis du inficerer nogen med ransomware og beder dem om at indbetale til en bankkonto, vil den konto blive lukket ret hurtigt," forklarede Zone Alarm's King. "Men hvis du beder nogen om at indbetale noget bitcoin i en pung, betaler forbrugerne. Der er virkelig ingen måde at stoppe det på."

I betragtning af hvor svært det er at regulere bitcoin i hverdagsfunktioner med legitim brug, giver det mening, at det er endnu mere vigtigt at forhindre det i at blive udnyttet af kriminelle. Især fordi folk betaler løsesummen. Ligesom med udnyttelsessættene og den virksomhedsstruktur, der understøtter dem, gør ransomware-udviklere det så nemt som muligt for ofre at købe kryptovaluta og sende den til dem.

Men i sidste halvdel af teenageårene i det 21^st århundrede, er vi begyndt at se yderligere udvikling af disse taktikker, da igen dem, der skriver den ondsindede software, har fulgt pengene.

"Det, der har overrasket mig med ransomware, er, hvor hurtigt det gik fra dig og jeg til vores virksomheder," sagde Kleczynski. "For et år eller to siden var det os, der blev inficeret, ikke Malwarebytes, ikke SAP, Oracle og så videre. De har tydeligt set pengene, og virksomhederne er villige til at betale dem."

Hvad er det næste?

For de fleste af de eksperter, vi talte med, ransomware er fortsat den store trussel de er optaget af. Zone Alarm's King var ivrig efter at tale om sit firmas nye anti-ransomware-beskyttelse, og hvordan virksomheder skulle være opmærksomme på, hvor farlig taktikken var.

Kleczynski ser det som en enormt profitabel model for malware-skribenter, især når du bringer fremkomsten af ​​inficerede Internet of Things-enheder, som har udgjort nogle af de største botnets, verden nogensinde har set.

^{Timelapse af et DDoS-angreb, der fandt sted i 2015 juledag.}

Ved at bruge British Airways’ hjemmeside som eksempel stillede han det retoriske spørgsmål om, hvor meget det ville være det værd for det selskab at opretholde sit online billetsystem, hvis det blev truet. Ville sådan en virksomhed være villig til at betale en afpresser $50.000, hvis dens hjemmeside skulle gå ned i blot et par timer? Ville det betale 10.000 dollars blot ved truslen om en sådan handling?

Med potentialet til at miste millioner i salg, eller endda milliarder i markedsværdi, hvis aktiekurser reagerer på et sådant angreb, er det ikke svært at forestille sig en verden, hvor det er en regelmæssig begivenhed. For Kleczynski er dette bare den gamle verden, der endelig indhenter den nye. Det er tidligere tiders organiserede kriminalitetstaktik, der blev anvendt i en moderne verden.

"Det her plejede bare at være afpresning. »Vil du købe en brandforsikring? Det ville være en skam, hvis der skete noget med din bygning," sagde han. "I dag er det" vil du gerne købe en ransomware-forsikring? Det ville være en skam, hvis dit websted gik ned i 24 timer.'"

Den kriminelle involvering skræmmer stadig MalwareBytes' Bustamante, som fortæller os, at virksomheden jævnligt ser trusler mod sine udviklere skjult i malware-kode.

Selvom han og virksomheden er bekymrede over deres egen personlige sikkerhed, ser han den næste bølge som noget mere end blot ransomware. Han ser det som et angreb på vores evne til at opfatte verden omkring os.

"Hvis du spørger mig, hvad den næste bølge er, er det falske nyheder," sagde han. “Malvertising er gået videre […] det er nu clickbait og falske nyheder. At formidle denne slags nyheder er navnet på spillet, og det bliver den store næste bølge." Med tanke på hvordan involverede nationalstater synes at have været i den praksis selv i de senere år, er det svært at forestille sig, at han tager fejl.

Lige så truende som malware-angreb fra organiseret kriminalitet, regeringssponserede vågevagter og militariserede hackere er de mest tryghed, du kan tage i sådan en tid med usikkerhed, er, at det svageste led i sikkerhedskæden næsten altid er slutningen bruger. Det er dig..

Det er skræmmende, men også styrkende. Det betyder, at selvom de mennesker, der skriver malwaren, angrebsvektorerne og selve grunden til at skabe vira og trojanske heste i første omgang kan have ændret sig, de bedste måder at forblive sikker på online er de gamle måder. Hold stærke adgangskoder. Patch din software. Og vær forsigtig med hvilke links du klikker på.

Som Malwarebytes Klecyzinski fortalte os efter vores interview: "Hvis du ikke er paranoid, vil du ikke overleve."

Redaktørernes anbefalinger

• Microsoft har lige givet dig en ny måde at beskytte dig mod virus
• Hackere bruger stjålne Nvidia-certifikater til at skjule malware