Historien om skadelig programvare, fra skøyerstreker til atomsabotasje

Siden begynnelsen av moderne databehandling har programvare vært like dyktig som programmererne som skapte den. Deres intensjoner ble dens evner, og det har brakt oss en verden av fantastiske og kraftige applikasjoner på tvers av en lang rekke plattformer og medier. Underveis har det også ført til opprettelsen av utrolig ondsinnet, og i noen tilfeller direkte farlig, programvare. Vi snakker selvfølgelig om skadelig programvare.

Vi har alle kommet over skadevare på et tidspunkt. Du kan ha blitt spammet under storhetstiden med adware og popup-vinduer, møtt mot en ekkel trojaner som prøvde å stjele identiteten din, eller til og med håndterte et systemlammende stykke utpressing løsepengevare. I dag er millioner på millioner av unike programmer utviklet for å målrette mot systemet, filene og lommeboken. Mens de alle har forskjellige fotspor og baner, har de alle sine røtter i en ydmyk begynnelse.

For å forstå skadelig programvare, må du gå tilbake til den digitale ursuppen som en dag ville utvikle seg til de millioner av ondsinnede programmer vi møter i dag. Dette er historien til skadelig programvare og teknikkene som er brukt over flere tiår for å bekjempe den.

En uskyldig fødsel

Den moderne verden står overfor kriminell og nasjonalstatshacking som kan true alles livsstil. Likevel var de første dagene med skadelig programvare fri for ondskap. Den gang var intensjonen å se hva som virkelig var mulig med databehandling, ikke å skade, stjele eller manipulere.

Ideen til et virus, eller en selvreplikerende kodestreng, ble først laget av datavisjonær John Von Neumman. I 1949 postulerte han potensialet for en "selv-reproduserende automat" som ville være i stand til å overføre programmeringen til en ny versjon av seg selv.

'Jeg er krypmannen:
Ta meg hvis du kan.'

Den første kjente registrerte forekomsten av et datavirus var Creeper Worm, utviklet av Robert H. Thomas i 1971. Den første iterasjonen av Creeper kunne ikke klone seg selv, men den var i stand til å flytte fra ett system til et annet. Den vil da vise meldingen "Jeg er slyngplanten: Fang meg hvis du kan."

Selv om det virker sannsynlig at den første selvreplikerende koden og dens skaper går tapt, er den første registrerte forekomsten av slik programvare Creeper Worm, utviklet av Robert H. Thomas i 1971 hos BBN Technologies. Creeper kjørte på TENEX-operativsystemet og var imponerende sofistikert for sin tid. I motsetning til mange av etterfølgerne, som ville kreve fysiske medier for å spre nyttelasten deres, var Creeper i stand til å flytte mellom DECs PDP-10 mainframe-datamaskiner over den tidligste iterasjonen av ARPANET, et stamnettverk av internett som verden ville komme til å ta i bruk i senere år. Den første iterasjonen av Creeper kunne ikke klone seg selv, men den var i stand til å flytte fra ett system til et annet. Den vil da vise meldingen, "Jeg er kryperen: Fang meg hvis du kan."

En ny versjon av Creeper ble senere laget av Thomas 'kollega ved BBN Technologies, Ray Thomlinson – bedre kjent som oppfinneren av e-post. Det dupliserte seg selv, noe som førte til en tidlig forståelse av problemet slike virus, eller ormer, kan forårsake. Hvordan kontrollerer du dem når du sender dem avgårde? Til slutt opprettet Thomlinson et annet program kalt Reaper, som flyttet rundt på nettverket og slettet alle kopier av Creeper den fant. Thomlinson visste det ikke, men han hadde laget det aller første stykket antivirus programvare, starter et våpenkappløp mellom hackere og sikkerhetseksperter som fortsetter til i dag.

Creeper, selv om den hånte i sin melding, var ikke designet for å forårsake problemer for systemet. Faktisk som Thomlinson selv forklart til datahistoriker, Georgei Dalakob, "Creeper-applikasjonen utnyttet ikke en mangel ved operativsystemet. Forskningsinnsatsen var ment å utvikle mekanismer for å bringe applikasjoner til andre maskiner med intensjon om å flytte applikasjonen til den mest effektive datamaskinen for oppgaven.

Topper og bunner

I årene som fulgte spredningen og den påfølgende slettingen av Creeper-viruset fra de eldgamle stormaskinsystemene, dukket det opp noen andre deler av skadelig programvare og gjentok ideen. Det selvreplikerende kaninviruset ble skapt av en ukjent – ​​men visstnok veldig mye sparken – programmerer i 1974, og ble kort tid etter fulgt av Dyrevirus, som tok form av et spørrespill.

Skapelse av skadelig programvare gikk deretter gjennom en av sine periodiske utviklingstørker. Men det endret seg i 1982, da Elk Cloner dukket opp, og en ny bølge av virus begynte å stige.

"Med oppfinnelsen av PC-en begynte folk å skrive oppstartssektorvirus som ble spredt på disketter," Sonealarmer Skyler King fortalte Digital Trends. "Folk som piratkopierte spill eller delte dem på disketter [ble infisert]."

Elk Cloner var den første som brukte den angrepsvektoren, selv om den var helt godartet og ikke antatt å ha spredt seg langt. Mantelen ble plukket opp fire år senere av hjerneviruset. Denne programvaren var teknisk sett et tiltak mot piratkopiering skapt av to pakistanske brødre, selv om det hadde effekten av å gjøre noen infiserte disker ubrukelige på grunn av tidsavbruddsfeil.

"Dette var på en måte de første virusene som vi ville vurdere dem," sa King. "Og de forplantet seg slik at hvis du la inn en diskett, kunne de kopiere til den og spre seg på den måten." Endringen i angrepsvektor var bemerkelsesverdig, fordi målretting av et system fra en annen vinkel ville bli kjennetegnet for ny skadelig programvare i årene som fulgte.

"Ting gikk på en måte over til Unix-siden med den vanlige bruken av internett og universiteter, som Morris-ormen i november 1988», fortsatte King. «Det var interessant, fordi Morris-ormen ble [skrevet av] sønnen til lederen av NSA […] Han fant en feil i to protokoller som ble brukt i Unix. Feilen i SMTP, e-postprotokollen som tillot deg å sende e-post, [ble brukt til å] spre den, og i løpet av en dag tok den ned internett slik det eksisterte i 1988.»

Morris-ormen ble sagt å være opprinnelig designet for å kartlegge internett, men den bombarderte datamaskiner med trafikk, og flere infeksjoner kunne bremse dem til en gjennomgang. Det er til slutt kreditert med å få ned rundt 6000 systemer. Robert Morris, ormens skaper, ble den første personen som noen gang ble prøvd under Computer Fraud and Abuse Act av 1986. Han ble dømt til tre års prøvetid og en bot på 10 050 dollar. I dag er Morris en aktiv forsker av datanettverksarkitekturer og ansatt professor ved MIT.

Morris-ormen ble proof of concept for en rekke andre deler av skadelig programvare fra samme periode, som alle var rettet mot oppstartssektorer. Det startet den neste bølgen innen virusutvikling. Mange varianter av den ideen ble samlet under «Stoned»-etiketten, med bemerkelsesverdige oppføringer som Whale, Tequila og den beryktede Michelangelo, som årlig skapte panikk i organisasjoner med infiserte systemer.

Sommerens siste dager

I de første tiårene av deres eksistens var selv de produktive og skadelige virusene av relativt godartet design. "De var bare folk som hadde det gøy og prøvde å få street cred i undergrunnsscenen for å vise hva de kunne," sa King til Digital Trends.

Defensive metoder var fortsatt langt bak virusskribentene. Selv enkel skadelig programvare som ILoveYou Worm - som dukket opp i år 2000 - kan forårsake enestående skade på systemer over hele verden.

Malwarebytes' Vicedirektør for teknologi, Pedro Bustamante, husker det godt. "Det var et visuelt grunnleggende skript som var en massepost som automatisk ville legge ved et skript, og [antivirusfirmaene] var ikke klare til å gjøre mye skriptbasert deteksjon den gang," sa han.

Den filippinske programmereren Onel de Guzman blir oftest kreditert med ormens skapelse, selv om han har det nektet alltid for å utvikle dens angrepsvektor, og antyder at han kan ha sluppet ut ormen ulykke. Noen rykter tyder på den virkelige skyldige bak opprettelsen var en venn av ham, Michael Buen, som lurte Guzman til å gi den ut på grunn av en kjærlighetsrivalisering. ILoveYou-ormen forårsaket over 15 milliarder dollar i skade globalt.

"Vi var innesperret på Panda-laboratoriene i tre dager for den," fortsatte Bustamante. «Folk sov ikke. Det var episenteret for den script kiddie-bevegelsen der hvem som helst kunne lage et manus og lage en massepost, og det ville ha en enorm utbredelse. Et stort antall infeksjoner. Det var vanligvis bare mulig med en avansert nettverksorm på den tiden.»

Zone Alarm's King møtte lignende søvnløse netter med annen skadelig programvare som spredte seg over hele landet voksende internett i løpet av den tiden, og siterer slike som Code Red og SQL Slammer som spesielt problematisk.

Mens ormer og virus fikk sikkerhetseksperter til å trekke håret ut, og bedriftsledere var redde for millionene eller milliarder av dollar i skade de gjorde, ingen visste at skadevarekrigene bare så vidt var i gang. De var i ferd med å ta en mørk og farlig sving.

Ikke lenger et spill

Etter hvert som internettbruken vokste, begynte annonsenettverk å tjene penger på nettet, og dot-coms hentet inn investorpenger. Internett forvandlet seg fra et lite samfunn kjent av få til en utbredt, mainstream kommunikasjonsvei, og en legitim måte å tjene millioner av dollar på. Motivet for skadevare fulgte, og skiftet fra nysgjerrighet til grådighet.

^{Kaspersky Cyberthreat sanntidskart viser nettangrep som foregår akkurat nå over hele verden.}

«Da flere begynte å bruke internett og folk så på annonser på nettet, og selskaper var ute der tjene penger på annonseklikk, det var da du begynte å se fremveksten av adware og spyware,» King fortsatte. "Du begynte å se virus som kjørte på individuelle datamaskiner som sendte ut spam for å prøve å kjøpe inn produkter eller adware som brukte klikksvindel som viste annonser for ting slik at det ville simulere at du klikket på koblingen, slik at de penger."

Organisert kriminalitet innså snart at smarte programmerere kunne tjene mye penger på etablerte undergrunnsbedrifter. Med det ble skadevarescenen flere nyanser mørkere. Ferdigpakkede malware-sett laget av kriminelle organisasjoner begynte å dukke opp på nettet. Kjente som MPack ble til slutt brukt til å infisere alt fra individuelle hjemmesystemer, til storbanker. Deres nivå av raffinement, og kobling til kriminelle i den virkelige verden, øker innsatsen for sikkerhetsforskere.

"Vi oppdaget MPack hos Panda Security, og vi gjorde en undersøkelse og en stor avis som var over hele nyhetene,» forklarte Malwarebytes’ Bustamante. "Det var da vi begynte å se noen av gjengene som sto bak noen av disse mer moderne angrepene og skadevare. Det var skummelt. De fleste forskere ved Panda sa at de ikke ville ha navnet deres i nærheten av rapporten."

Men rapporten ble utgitt, og den fremhevet hvor dypt skadelig programvare og organiserte kriminelle gjenger hadde blitt.

«Det var mange russiske gjenger. Vi hadde bilder av deres sammenkomster. Det var som et selskap, sa Bustamante. "De hadde folk som driver med markedsføring, ledere, bedriftstreff, konkurranser for programmerere som skrev den beste malware, sporing av tilknyttede selskaper, de hadde alt. Det var utrolig. De tjente mer penger enn oss.»

Disse pengene ble delt med talentfulle programmerere, for å sikre at organisasjonene tiltrakk seg det beste talentet de kunne. "Vi begynte å se bilder av mafia-utseende gutter fra Øst-Europa som ga bort fancy biler til programmererne, og kofferter fulle av penger," sa han.

Sårbarheter utnyttet

Jakten på profitt fører til mer sofistikert skadelig programvare og nye angrepsvektorer. De Zeus malware, som dukket opp i 2006, brukte grunnleggende sosialteknikk for å lure folk til å klikke på e-postlenker, til slutt lar skaperen stjele ofrenes påloggingsinformasjon, økonomiske detaljer, PIN-koder og mer. Det muliggjorde til og med såkalte «mann i nettleseren»-angrep, der skadevare kan be om sikkerhetsinformasjon ved påloggingspunktet, og høste enda mer informasjon fra ofrene.

De som opprettet skadelig programvare lærte også at de ikke trengte å bruke programvaren selv, og kunne ganske enkelt selge den til andre. MPack-settet Bustamante kom over hos Panda Security på midten av 00-tallet var et perfekt eksempel. Den ble oppdatert måned til måned siden den ble opprettet tidlig, og regelmessig videresolgt. Til og med den påståtte forfatteren av Zeus, russisk-fødte Evgeniy Mikhailovich Bogachev, begynte å selge sin malware, før han overlot kontrollen over Zeus malware-plattformen til en annen programmerer. Han er fortsatt på frifot i dag. FBI har en dusør på informasjon som fører til Bogachevs arrestasjon, tilbyr så mye som 3 millioner dollar til alle som kan hjelpe til med å fange ham.

Å selge ferdigpakket skadelig programvare slik Bogachev gjorde, markerte nok et skifte i opprettelsen av skadelig programvare. Nå som malware kunne brukes til å tjene penger, og virusskribenter kunne tjene penger på å selge det som et verktøy, ble det mer profesjonelt. Skadelig programvare ble laget i et produkt, ofte kalt et utnyttelsessett.

"Det ble virkelig solgt som en bedrift," sa Zone Alarm's King til Digital Trends. "De [tilbød] støtte, programvareoppdateringer til de siste utnyttelsene, det var ganske fantastisk."

I 2007 ble det laget mer skadelig programvare hvert år enn det som hadde eksistert i hele historien til skadelig programvare, og masseangrep på det stadig økende antallet datamaskiner drev virksomheten. Dette ansporet fremveksten av store botnett som ble tilbudt for utleie til de som ønsket å utføre tjenestenektangrep. Men sluttbrukere kunne bare bli lurt til å klikke på lenker så lenge. Etter hvert som de ble mer utdannet, trengte utnyttelsespakkene og forfatterne deres å utvikle seg igjen.

"[Malware-forfattere] måtte komme opp med en måte å installere trusselen automatisk," sa MalwareBytes-sjef Marcin Kleczynski til Digital Trends. "Det var der utnyttelsesteknikkene, sosial teknikk og makroer i Powerpoint og Excel begynte å bli mye mer [sofistikert]."

Heldigvis for skadevareforfatterne begynte nettsteder og offline programvare å ta i bruk Web 2.0-prinsipper. Brukerinteraksjon og kompleks innholdsskaping ble langt mer utbredt. For å tilpasse skadevare begynte forfattere å målrette Internet Explorer, Office-applikasjoner og Adobe Reader, blant mange andre.

"Jo mer kompleks programvare blir, jo mer kan den gjøre, jo flere ingeniører som jobber med den […] jo mer sannsynlig er programvaren for feil og jo flere sårbarheter vil du finne over tid," sa Kleczynski. "Eftersom programvaren blir mer kompleks og Web 2.0 skjedde, og Windows fortsatte å utvikle seg, ble den mer kompleks og mer sårbar for omverdenen."

I 2010 så det ut til at ikke-for-profit skadelig programvare nesten hadde dødd ut, med profitt som den nesten eksklusive motivasjonen for å lage den. Det viste seg å være feil. Verden lærte brått at organisert kriminalitet var ingenting sammenlignet med den farligste skadevare, laget i hemmelighet av nasjoner.

Digital krigføring

Det første eksemplet på en nasjon som bøyer militærmakten sin på nettet var Aurora-angrep på Google. Søkegiganten, som lenge har vært en av verdens mest fremtredende digitale enheter, ble utsatt for vedvarende angrep på slutten av 2009 av hackere med bånd til den kinesiske frigjøringshæren. Da resten av verden fikk vite om det i januar 2010, markerte det et vendepunkt i hva eksperter innså at skadevare, og dets forfattere, var i stand til.

Angrepet var rettet mot dusinvis av teknologiselskaper på høyt nivå som Adobe, Rackspace og Symantec, og ble antatt å være et forsøk på å endre kildekoden til forskjellige programvarepakker. Senere rapporter antydet at det var en Kinesisk kontraetterretningsoperasjon for å oppdage amerikanske avlyttingsmål. Like ambisiøst og imponerende som angrepet var, ble det imidlertid overgått bare måneder senere.

«Katten kom virkelig ut av sekken med Stuxnet," fortalte Bustamante til Digital Trends. «Før det […] kunne du se det i visse angrep og i ting som Pakistan, India internett blir kuttet ned under havet, [men] Stuxnet er der dritten traff viften, og alle begynte å bli freaking ute."

Stuxnet ble bygget for å sabotere Irans atomprogram, og det fungerte. Selv nå, åtte år etter at det dukket opp, snakker sikkerhetseksperter om Stuxnet med en tone av ærefrykt. "Letting sammen flere nulldagssårbarheter, virkelig avansert målretting av spesifikke atomanlegg. Det er utrolig, sa Bustamante. "Det er den typen ting du bare vil se i en roman."

Kleczynski var like imponert. "[...] hvis du ser på utnyttelser som brukes til en offensiv cybersikkerhetskapasitet, var det en ganske bra en. Hvordan det gikk etter Siemens programmerbare logiske datamaskiner? Den var vakkert designet for å ødelegge sentrifugene.»

Selv om ingen tok på seg ansvaret for Stuxnet i årene som fulgte, tror de fleste sikkerhetsforskere at det er arbeidet til en kombinert amerikansk-israelsk arbeidsstyrke. Det virket bare mer sannsynlig når andre avsløringer, som NSA-harddisk-firmware-hacking, viste det sanne potensialet til nasjonalstatshackere.

Stuxnet-angrepsstilen ville snart bli vanlig. Utnyttelsessett fortsatte å være en viktig angrepsvektor i årene som fulgte, men som Bustamante fortalte oss i vår intervju, nulldagssårbarheter lenket sammen er nå noe som Malwarebytes og dets samtidige ser hver dag.

Det er ikke alt de ser. Det er et nytt fenomen med opprinnelse som kan spores nesten tilbake til starten av historien vår. Det har ikke skapt noen ende på problemer i det siste, og kan godt gjøre det i fremtiden.

Pengene dine eller filene dine

Det aller første ransomware-angrepet skjedde teknisk sett så langt tilbake som i 1989, med AIDS-trojaneren. Sendt ut til AIDS-forskere på en infisert diskett, ville skadevaren vente på at systemet ble startet opp 90 ganger før du krypterer filer og krever en betaling på $189 i kontanter, sendt til en postboksadresse i Panama.

Selv om den skadelige programvaren ble kalt en trojaner på den tiden, var ideen om å tvinge filer og nekte en bruker tilgang til sitt eget system, og å kreve en eller annen form for betaling for å få det tilbake til det normale, ble nøkkelkomponentene i løsepengevare. Det begynte å dukke opp igjen på midten av 00-tallet, men det var det veksten av anonym kryptovaluta Bitcoin som gjorde løsepengevare vanlig.

"Hvis du infiserer noen med løsepengevare og ber dem om å sette inn på en bankkonto, vil den kontoen bli stengt ganske raskt," forklarte Zone Alarm's King. "Men hvis du ber noen om å sette inn litt bitcoin i en lommebok, betaler forbrukerne. Det er virkelig ingen måte å stoppe det på."

Tatt i betraktning hvor vanskelig det er å regulere bitcoin i hverdagsfunksjoner med legitim bruk, er det fornuftig at det er enda mer å stoppe det fra å bli utnyttet av kriminelle. Spesielt siden folk betaler løsepenger. Akkurat som med utnyttelsessettene og bedriftsstrukturen som støtter dem, gjør løsepengevareutviklere det så enkelt som mulig for ofre å kjøpe kryptovaluta og sende den til dem.

Men i siste halvdel av tenårene av 21^st århundre har vi begynt å se videre utvikling av disse taktikkene, ettersom nok en gang de som skriver den ondsinnede programvaren har fulgt pengene.

"Det som har overrasket meg med løsepengevare er hvor raskt det gikk fra deg og meg til våre selskaper," sa Kleczynski. "For et år eller to siden var det vi som ble infisert, ikke Malwarebytes, ikke SAP, Oracle og så videre. De har tydelig sett pengene og selskaper er villige til å betale dem.»

Hva blir det neste?

For de fleste ekspertene vi snakket med, løsepengevare fortsetter å være den store trusselen de er opptatt av. Zone Alarms King var opptatt av å snakke om selskapets nye anti-ransomware-beskyttelser og hvordan bedrifter måtte være klar over hvor farlig taktikken var.

Kleczynski ser på det som en enormt lønnsom modell for skadevareforfattere, spesielt når du bringer inn fremveksten av infiserte Internet of Things-enheter, som har utgjort noen av største botnettene verden noen gang har sett.

^{Timelapse av et DDoS-angrep som fant sted i 2015 på juledag.}

Ved å bruke British Airways nettsted som eksempel, stilte han det retoriske spørsmålet om hvor mye det ville være verdt det for det selskapet å opprettholde sitt online billettsystem hvis det ble truet. Ville et slikt selskap være villig til å betale en utpresser 50 000 dollar hvis nettstedet deres skulle gå ned i noen timer? Ville det betale $10 000 bare ved trusselen om en slik handling?

Med potensialet til å tape millioner i salg, eller til og med milliarder i markedsverdi hvis aksjekurser reagerer på et slikt angrep, er det ikke vanskelig å forestille seg en verden hvor det er en vanlig forekomst. For Kleczynski er dette bare den gamle verden som endelig tar igjen den nye. Det er tidligere tiders organiserte kriminalitetstaktikker som ble brukt i en moderne verden.

"Dette pleide bare å være utpressing. «Vil du kjøpe en brannforsikring? Det ville være synd hvis noe skjedde med bygningen din, sa han. "I dag er det" vil du kjøpe en løsepengeforsikring? Det ville være synd om nettstedet ditt gikk ned i 24 timer.'»

Den kriminelle involveringen skremmer fortsatt MalwareBytes' Bustamante, som forteller oss at selskapet jevnlig ser trusler mot utviklerne skjult i skadelig programvare.

Selv om han og selskapet er bekymret for sin egen personlige sikkerhet, ser han på den neste bølgen som noe mer enn bare løsepengevare. Han ser det som et angrep på vår evne til å oppfatte verden rundt oss.

"Hvis du spør meg hva den neste bølgen er, er det falske nyheter," sa han. «Malvertising har gått videre […] det er nå clickbait og falske nyheter. Å formidle denne typen nyheter er navnet på spillet, og det kommer til å bli den store neste bølgen." Med tanke på hvordan involverte nasjonalstater ser ut til å ha vært i den praksisen selv de siste årene, er det vanskelig å forestille seg at han tar feil.

Like truende som malware-angrep fra organisert kriminalitet, regjeringssponsede årvåkne og militariserte hackere er de mest trygghet du kan ta i en slik tid med usikkerhet er at det svakeste leddet i sikkerhetskjeden nesten alltid er slutten bruker. Det er deg..

Det er skummelt, men styrkende også. Det betyr at selv om folk skriver skadevare, angrep vektorer og selve grunnen til å lage virus og trojanere i utgangspunktet kan ha endret seg, de beste måtene å være trygge på nettet på er de gamle måter. Hold sterke passord. Patch programvaren din. Og vær forsiktig med hvilke koblinger du klikker på.

Som Malwarebytes Klecyzinski fortalte oss etter intervjuet vårt, "Hvis du ikke er paranoid, kommer du ikke til å overleve."

Redaktørenes anbefalinger

• Microsoft har nettopp gitt deg en ny måte å beskytte deg mot virus på
• Hackere bruker stjålne Nvidia-sertifikater for å skjule skadelig programvare