История вредоносного ПО: от розыгрышей до ядерного саботажа

С момента появления современных компьютеров программное обеспечение было столь же способным, как и программисты, создавшие его. Их намерения стали его возможностями, и это принесло нам мир чудесных и мощных приложений для самых разных платформ и сред. Попутно это также привело к созданию невероятно вредоносного, а в некоторых случаях и совершенно опасного программного обеспечения. Речь, конечно же, идет о вредоносном ПО.

Все мы когда-нибудь сталкивались с вредоносным ПО. Возможно, вас рассылали спамом во времена расцвета рекламного ПО и всплывающих окон, когда вы столкнулись с ужасным трояном. который пытался украсть вашу личность или даже имел дело с парализующим систему шантажом программы-вымогатели. Сегодня миллионы и миллионы уникальных программ предназначены для вашей системы, ваших файлов и вашего кошелька. Хотя все они имеют разные следы и траектории, все они уходят своими корнями в скромное начало.

Чтобы понять вредоносное ПО, вы должны вернуться к первозданному цифровому супу, который однажды превратится в миллионы гнусных программ, с которыми мы сталкиваемся сегодня. Это история вредоносного ПО и методов, которые десятилетиями использовались для борьбы с ним.

Невинное рождение

Современный мир сталкивается с хакерской деятельностью со стороны преступников и национальных государств, которая может поставить под угрозу образ жизни каждого человека. Однако первые дни вредоносного ПО были свободны от злого умысла. Тогда целью было увидеть, что действительно возможно с помощью вычислений, а не причинять вред, воровать или манипулировать.

Идея вируса или самовоспроизводящейся строки кода была впервые выдвинута компьютерными провидцами. Джон фон Нейман. В 1949 году он постулировал возможность существования «самовоспроизводящихся автоматов», которые смогут передавать свои программы новой версии самого себя.

«Я Крипер:
Поймай меня, если сможешь.'

Первым известным зарегистрированным экземпляром компьютерного вируса был Creeper Worm, разработанный Робертом Х. Томас в 1971 году. Первая версия Creeper не могла клонировать себя, но могла перемещаться из одной системы в другую. Затем на экране появится сообщение: «Я Крипер: поймай меня, если сможешь».

Хотя кажется вероятным, что первый самовоспроизводящийся код и его создатель утеряны, первым зарегистрированным экземпляром такого программного обеспечения является Creeper Worm, разработанный Робертом Х. Томас в 1971 году в BBN Technologies. Creeper работал на операционной системе АО «Техснабэкспорт» и был впечатляюще сложным для своего времени. В отличие от многих своих преемников, которым для распределения полезной нагрузки требовались физические носители, Creeper мог переключаться между PDP-10 от DEC. мэйнфреймы на самой ранней версии ARPANET, сети-прародительницы Интернета, которую мир примет позже. годы. Первая версия Creeper не могла клонировать себя, но могла перемещаться из одной системы в другую. Затем на экране появится сообщение: «Я Крипер: поймай меня, если сможешь».

Новую версию Creeper позже создал коллега Томаса из BBN Technologies. Рэй Томлинсон – более известен как изобретатель электронной почты. Он дублировал себя, что привело к раннему пониманию проблемы, которую могут вызвать такие вирусы или черви. Как вы их контролируете после отправки? В конце концов Томлинсон создал еще одну программу под названием Reaper, которая перемещалась по сети и удаляла все найденные копии Creeper. Томлинсон этого не знал, но он создал самый первый образец антивирусная программа, начиная гонку вооружений между хакерами и специалистами по безопасности это продолжается и по сей день.

Creeper, хотя и насмешливый в своем сообщении, не был создан для того, чтобы создавать проблемы для системы. Действительно, как сказал сам Томлинсон объяснил историк вычислительной техники Георгий Далакоб, «Приложение Creeper не использовало недостатки операционной системы. Исследовательские усилия были направлены на разработку механизмов переноса приложений на другие машины с целью перемещения приложения на компьютер, наиболее эффективный для выполнения его задачи».

Пики и провалы

В годы, последовавшие за распространением и последующим удалением вируса Creeper из этих древних мэйнфреймов, появилось несколько других вредоносных программ, которые повторили эту идею. Самовоспроизводящийся Кроличий вирус был создан неизвестным, но мол, очень сильно уволили – программист в 1974 году, вскоре после этого последовал Вирус животных, который проходил в форме игры-викторины.

Затем создание вредоносного ПО пережило один из периодических периодов засухи в развитии. Но все изменилось в 1982 году, когда появился Elk Cloner, и начала подниматься новая волна вирусов.

«С изобретением ПК люди начали писать вирусы загрузочного сектора, которые распространялись на дискетах», Зональная сигнализация Скайлер Кинг рассказала Digital Trends. «Люди, которые копировали игры или распространяли их на дискетах, [были заражены]».

Лось Клонер был первым, кто использовал этот вектор атаки, хотя он был совершенно безопасным и не предполагал, что он распространился далеко. Четыре года спустя его мантию подхватил вирус Мозга. Технически эта часть программного обеспечения была мерой по борьбе с пиратством. созданный двумя пакистанскими братьями, хотя это привело к тому, что некоторые зараженные диски стали непригодными для использования из-за ошибок тайм-аута.

«Это были своего рода первые вирусы, какими мы их считали», — сказал Кинг. «И они распространялись так, что если вы вставите дискету, они могли скопировать на нее и распространить таким образом». Изменение вектора атаки было примечательно, поскольку нацеливание на систему под другим углом стало отличительной чертой новых вредоносных программ в те годы, когда последовал.

«С массовым использованием Интернета и университетов все перешло в сторону Unix, например червь Морриса в ноябре 1988 года», — продолжил Кинг. «Это было интересно, потому что червь Морриса был [написан] сыном главы АНБ […] Он нашел ошибку в двух протоколах, которые использовались в Unix. Недостаток в SMTP, почтовом протоколе, который позволял отправлять электронную почту, [использовался] для его распространения, и в течение дня он разрушил Интернет в том виде, в котором он существовал в 1988 году».

Сообщалось, что червь Морриса изначально был разработан для картирования Интернета, но он бомбардировал компьютеры трафиком, и множественные заражения могли замедлить их сканирование. В конечном итоге ему приписывают сбой около 6000 систем. Роберт Моррис, создатель червя, стал первым человеком, которого когда-либо судили по Закону о компьютерном мошенничестве и злоупотреблениях 1986 года. Его приговорили к трем годам условно и штрафу в 10 050 долларов. Сегодня Моррис является активным исследователем архитектуры компьютерных сетей. и штатный профессор Массачусетского технологического института.

Червь Морриса стал доказательством концепции множества других вредоносных программ того же периода, все из которых были нацелены на загрузочные сектора. Это положило начало следующей волне в развитии вирусов. Многие варианты этой идеи были собраны под лейблом «Stoned», включая такие известные записи, как Whale, Tequila и печально известный Микеланджело, что ежегодно создавало панику в организациях с зараженными системами.

Последние дни лета

В первые десятилетия своего существования даже плодовитые и разрушительные вирусы имели относительно безвредный дизайн. «Это были просто люди, которые развлекались, пытаясь завоевать уличное признание на андеграундной сцене, чтобы показать, на что они способны», — сказал Кинг Digital Trends.

Однако методы защиты все еще сильно отставали от вирусописателей. Даже простое вредоносное ПО, такое как червь ILoveYou, появившееся в 2000 году, может нанести беспрецедентный ущерб системам по всему миру.

Малваребайты«Вице-президент по технологиям Педро Бустаманте хорошо это помнит. «Это был сценарий Visual Basic, который представлял собой массовую почтовую программу, которая автоматически прикрепляла сценарий, и [антивирусные компании] тогда не были готовы выполнять большое количество операций обнаружения на основе сценариев», — сказал он.

Созданием червя чаще всего приписывают филиппинскому программисту Онелю де Гузману, хотя всегда отрицал, что разработал вектор атаки, и предполагает, что он, возможно, выпустил червя несчастный случай. Некоторые слухи предполагают Настоящим виновником его создания был его друг Майкл Буэн, который обманом заставил Гусмана выпустить его из-за любовного соперничества. Червь ILoveYou нанес ущерб на сумму более 15 миллиардов долларов по всему миру.

«Из-за этого мы находились в изоляции в лабораториях Panda примерно три дня», — продолжил Бустаманте. «Люди не спали. Это был эпицентр движения скрипт-кидди, где каждый мог создать сценарий и сделать массовую рассылку, и это имело бы огромное распространение. Огромное количество заражений. Раньше это было возможно только с помощью продвинутого сетевого червя».

Король из Zone Alarm сталкивался с такими же бессонными ночами, когда по сети распространялись другие вредоносные программы. рост Интернета в то время, в частности, такие как Code Red и SQL Slammer. проблематично.

В то время как черви и вирусы заставляли экспертов по безопасности рвать на себе волосы, а руководители компаний боялись миллионов или ущерб в миллиарды долларов, никто не знал, что войны с вредоносным ПО только начинались. Им предстояло сделать темный и опасный поворот.

Больше не игра

По мере роста использования Интернета рекламные сети начали зарабатывать деньги в Интернете, а доткомы заработали деньги инвесторов. Интернет превратился из небольшого сообщества, известного лишь немногим, в широко распространенное, широко распространенное средство общения и законный способ заработать миллионы долларов. Далее последовал мотив создания вредоносного ПО: от любопытства к жадности.

^{Карта Kaspersky Cyberthreat в реальном времени показывает кибератаки, происходящие прямо сейчас по всему миру.}

«Когда все больше людей начали пользоваться Интернетом, люди смотрели онлайн-рекламу, а компании прекратили свое существование. зарабатывая деньги на кликах по рекламе, именно тогда вы начали наблюдать рост рекламного и шпионского ПО», — Кинг продолжение. «Вы начали видеть вирусы, которые запускались на отдельных компьютерах и рассылали спам с целью покупки продуктов или рекламного ПО. которые использовали мошенничество с кликами, которые показывали рекламу вещей, чтобы имитировать, что вы нажимаете на ссылку, поэтому они делали деньги."

Организованная преступность вскоре осознала, что умные программисты могут заработать на подпольных предприятиях большие деньги. В результате ситуация с вредоносным ПО потемнела на несколько тонов. В сети начали появляться готовые комплекты вредоносного ПО, созданные преступными организациями. Знаменитые вирусы, такие как MPack, в конечном итоге использовались для заражения всего: от отдельных домашних систем до банковских мэйнфреймов. Их уровень сложности и связи с реальными преступниками повышают ставки для исследователей безопасности.

"Мы обнаружили MPack в Panda Security, мы провели расследование и опубликовали большую статью, которая была во всех новостях», — объяснил Бустаманте из Malwarebytes. «Именно тогда мы начали замечать некоторые банды, стоявшие за некоторыми из этих более современных атак и вредоносных программ. Это было страшно. Большинство исследователей в Panda заявили, что не хотят, чтобы их имя упоминалось в отчете».

Но отчет был опубликован, и он показал, насколько глубокими стали вредоносные программы и организованные преступные группировки.

«Там было много русских банд. У нас были фотографии их собраний. Это было похоже на компанию», — сказал Бустаманте. «У них были люди, занимающиеся маркетингом, руководители, собрания компаний, конкурсы для программистов, написавших лучшее вредоносное ПО, отслеживание филиалов — у них было все. Это было потрясающе. Они зарабатывали больше денег, чем мы».

Эти деньги были разделены между талантливыми программистами, гарантируя, что организации привлекут самых талантливых специалистов. «Мы начали видеть фотографии мафиозно выглядящих парней из Восточной Европы, раздающих программистам модные автомобили и чемоданы, полные денег», — сказал он.

Использованные уязвимости

Погоня за прибылью приводит к появлению более сложных вредоносных программ и новых векторов атак. Зевс вредоносное ПО, появившийся в 2006 году, использовал базовую социальную инженерию, чтобы заставить людей нажимать на ссылки электронной почты, в конечном итоге позволяя создателю украсть данные для входа в систему жертв, финансовые данные, PIN-коды и более. Это даже способствовало так называемым атакам «человек в браузере», когда вредоносное ПО может запрашивать информацию о безопасности в момент входа в систему, собирая еще больше информации от жертв.

Создатели вредоносного ПО также поняли, что им не обязательно использовать это программное обеспечение самостоятельно, и они могут просто продать его другим. Комплект MPack, который Бустаманте увидел в Panda Security в середине нулевых, был прекрасным примером. Он обновлялся месяц за месяцем с момента своего создания и регулярно перепродавался. Даже предполагаемый автор Zeus, уроженец России Евгений Михайлович Богачев, начал продавать свое вредоносное ПО, прежде чем передать контроль над вредоносной платформой Zeus другому программисту. Он и сегодня на свободе. ФБР назначило награду за информацию, ведущую к аресту Богачева. предлагая целых 3 миллиона долларов всем, кто может помочь его поймать.

Продажа предварительно упакованного вредоносного ПО, как это сделал Богачев, ознаменовала еще один сдвиг в создании вредоносного ПО. Теперь, когда вредоносное ПО можно было использовать для зарабатывания денег, а авторы вирусов могли зарабатывать деньги, продавая его как инструмент, оно стало более профессиональным. Вредоносное ПО было преобразовано в продукт, обычно называемый набором эксплойтов.

«На самом деле это было продано как бизнес», — сказал Digital Trends Кинг из Zone Alarm. «Они [предложили] поддержку, обновления программного обеспечения для последних эксплойтов, это было просто потрясающе».

К 2007 году ежегодно создавалось больше вредоносных программ, чем существовало за всю историю вредоносного ПО, а массовые атаки на постоянно растущее число компьютеров стимулировали развитие бизнеса. Это стимулировало возникновение крупномасштабные ботнеты которые предлагались в аренду желающим провести DoS-атаки. Но конечных пользователей можно было обманом заставить нажимать на ссылки лишь очень долго. По мере того, как они становились более образованными, наборы эксплойтов и их авторы должны были снова развиваться.

«[Создателям вредоносного ПО] пришлось придумать способ автоматической установки угрозы», — рассказал Digital Trends генеральный директор MalwareBytes Марцин Клечински. «Именно здесь методы эксплойтов, социальная инженерия и макросы в Powerpoint и Excel начали становиться более [сложными]».

К счастью для авторов вредоносных программ, веб-сайты и автономное программное обеспечение начали применять принципы Web 2.0. Взаимодействие с пользователем и создание сложного контента становились все более распространенными. Чтобы адаптироваться, авторы вредоносных программ начали атаковать Интернет Эксплорер, приложения Office, Adobe Reader и многие другие.

«Чем сложнее становится программное обеспечение, тем больше оно может сделать, чем больше инженеров над ним работает […] тем больше вероятность ошибок в этом программном обеспечении и тем больше уязвимостей вы обнаружите с течением времени», — сказал Клечински. «По мере того, как программное обеспечение становится более сложным, появился Web 2.0, а Windows продолжает развиваться, оно становилось все более сложным и уязвимым для внешнего мира».

К 2010 году казалось, что некоммерческое вредоносное ПО практически вымерло, а коммерческое ПО стало почти единственной мотивацией для его создания. Это, как оказалось, было неправильно. Мир внезапно осознал, что организованная преступность — ничто по сравнению с опаснейшими вредоносными программами, тайно созданными народами.

Цифровая война

Первым примером того, как страна демонстрировала свою военную мощь в Интернете, стал Атака Авроры на Google. Поисковый гигант, долгое время считавшийся одним из самых известных цифровых предприятий в мире, в конце 2009 года оказался под постоянными атаками со стороны хакеров, связанных с Китайской освободительной армией. Когда остальной мир узнал об этом в январе 2010 года, это стало поворотным моментом в понимании экспертами возможностей вредоносного ПО и его авторов.

Атаке подверглись десятки технологические компании высокого уровня, такие как Adobe, Rackspace и Symantec, и считалось попыткой изменить исходный код различных программных пакетов. В более поздних сообщениях говорилось, что это был Китайская контрразведывательная операция обнаружить цели прослушивания телефонных разговоров в США. Однако какой бы амбициозной и впечатляющей ни была эта атака, всего несколько месяцев спустя она была превзойдена.

«Кот действительно вылез из мешка со Стакснетом,Бустаманте рассказал Digital Trends. «До этого […] это можно было увидеть в некоторых атаках и в таких вещах, как Интернет в Пакистане, Индии. вырубили под водой, [но] Stuxnet — это то место, где дерьмо ударило в вентилятор, и все начали сходить с ума вне."

Stuxnet был создан для саботажа ядерной программы Ирана, и он сработал. Даже сейчас, спустя восемь лет после его появления, специалисты по безопасности говорят о Stuxnet с трепетом. «Объединение нескольких уязвимостей нулевого дня, действительно продвинутое нацеливание на конкретные ядерные объекты. Это потрясающе», — сказал Бустаманте. «Такие вещи можно увидеть только в романе».

Клечинский был впечатлен не меньше. «[…] если вы посмотрите на эксплойты, используемые для наступательных возможностей кибербезопасности, то это будет чертовски хороший эксплойт. Как это произошло после появления программируемых логических компьютеров Siemens? Он был прекрасно спроектирован, чтобы уничтожить центрифуги».

Хотя в последующие годы никто не взял на себя ответственность за Stuxnet, большинство исследователей безопасности считают, что это работа объединенной американо-израильской оперативной группы. Это казалось более вероятным только тогда, когда другие открытия, такие как Взлом прошивки жесткого диска АНБ, показал истинный потенциал хакеров национальных государств.

Стиль атаки Stuxnet вскоре стал обычным явлением. В последующие годы наборы эксплойтов продолжали оставаться основным вектором атак, но, как рассказал нам Бустаманте в нашей интервью, уязвимости нулевого дня, связанные друг с другом, теперь представляют собой то, что видят Malwarebytes и его современники. каждый день.

Это не все, что они видят. Существует новый феномен, происхождение которого можно проследить почти до самого начала нашей истории. В последнее время это причиняло бесконечные неприятности и вполне может вызвать их в будущем.

Ваши деньги или ваши файлы

Технически самая первая атака с помощью программы-вымогателя произошла еще в 1989 году. троян СПИДа. Отправленное исследователям СПИДа на зараженной дискете, вредоносное ПО ждало загрузки системы. 90 раз, прежде чем зашифровать файлы и потребовать выплату 189 долларов наличными, отправленные на почтовый ящик в Панама.

Хотя в то время это вредоносное ПО называлось трояном, идея принудительного запутывания файлов, лишая пользователя доступ к своей собственной системе и требование той или иной формы оплаты для возвращения ее в нормальное состояние стали ключевыми компонентами программы-вымогатели. В середине 00-х он снова начал появляться, но это было рост анонимной криптовалюты Bitcoin это сделало программы-вымогатели обычным явлением.

«Если вы заразите кого-то программой-вымогателем и попросите его внести деньги на банковский счет, этот счет будет закрыт довольно быстро», — объяснил Кинг из Zone Alarm. «Но если вы попросите кого-нибудь положить немного биткойнов в кошелек, потребители заплатят. На самом деле нет никакого способа остановить это».

Учитывая, насколько сложно регулировать биткойн в повседневных функциях с законным использованием, имеет смысл тем более предотвратить его использование преступниками. Тем более, что люди платят выкуп. Как и в случае с наборами эксплойтов и поддерживающей их корпоративной структурой, разработчики программ-вымогателей максимально облегчают жертвам покупку криптовалюты и отправку ее им.

Но во второй половине подросткового возраста 21 года^ул. века мы начали наблюдать дальнейшую эволюцию этой тактики, поскольку авторы вредоносного программного обеспечения снова последовали за деньгами.

«Что меня удивило в программах-вымогателях, так это то, как быстро они перешли от нас с вами к нашим компаниям», — сказал Клечински. «Год или два назад заразились именно мы, а не Malwarebytes, не SAP, Oracle и так далее. Они ясно видели деньги, и компании готовы их платить».

Что дальше?

Для большинства экспертов, с которыми мы говорили, программы-вымогатели продолжают оставаться большой угрозой они обеспокоены. Кинг из Zone Alarm очень хотел рассказать о новых средствах защиты своей компании от программ-вымогателей и о том, как предприятиям необходимо осознавать, насколько опасна эта тактика.

Клечински считает это чрезвычайно выгодной моделью для создателей вредоносных программ, особенно если учесть рост зараженных устройств Интернета вещей, которые составляют часть крупнейшие ботнеты, которые когда-либо видел мир.

^{Таймлапс DDoS-атаки, произошедшей в 2015 году на Рождество.}

Используя веб-сайт British Airways в качестве примера, он задал риторический вопрос о том, сколько будет стоить этой компании сохранение своей системы онлайн-продажи билетов в случае угрозы. Готова ли такая компания заплатить вымогателю 50 000 долларов, если ее веб-сайт не будет работать хотя бы на несколько часов? Заплатит ли оно 10 000 долларов просто за угрозу такого действия?

Учитывая потенциальную потерю миллионов продаж или даже миллиардов рыночной стоимости, если цены акций отреагируют на такую ​​атаку, нетрудно представить мир, в котором это является обычным явлением. Для Клечинского это просто старый мир, наконец-то догоняющий новый. Это тактика организованной преступности прошлых лет, применяемая в современном мире.

«Раньше это был просто рэкет. «Хотите ли вы приобрести страховку от пожара?» Было бы обидно, если бы что-то случилось с вашим зданием», — сказал он. «Сегодня вопрос: «Хотели бы вы приобрести страховку от вымогателей?» Было бы обидно, если бы ваш сайт отключился на 24 часа».

Эта преступная причастность до сих пор пугает Бустаманте из MalwareBytes, который сообщает нам, что компания регулярно видит угрозы для своих разработчиков, скрытые в коде вредоносного ПО.

Хотя он и компания обеспокоены своей личной безопасностью, он рассматривает следующую волну как нечто большее, чем просто программы-вымогатели. Он рассматривает это как нападение на нашу способность воспринимать мир вокруг нас.

«Если вы спросите меня, какая будет следующая волна, это фейковые новости», — сказал он. «Вредоносная реклама продвинулась вперед […] теперь это кликбейт и фейковые новости. Распространение такого рода новостей — это название игры, и это будет следующая большая волна». Учитывая, как вовлеченные национальные государства, похоже, были в этой практике в последние годы трудно представить, что он ошибается.

Какими бы опасными ни были атаки вредоносных программ со стороны организованной преступности, спонсируемых правительством линчевателей и военизированных хакеров, наиболее опасными из них являются В такое время неопределенности вы можете получить уверенность в том, что самым слабым звеном в цепочке безопасности почти всегда является ее конец. пользователь. Это ты..

Это пугает, но и придаёт сил. Это означает, что, хотя люди, написавшие вредоносное ПО, векторы атак и сама причина создания вирусы и трояны, возможно, изменились, лучшими способами обеспечения безопасности в Интернете остаются старые способы. Используйте надежные пароли. Исправьте свое программное обеспечение. И будьте осторожны, по каким ссылкам вы переходите.

Как сказал нам Malwarebytes Klecyzinski после нашего интервью: «Если вы не параноик, вы не выживете».

Рекомендации редакции

• Microsoft только что предоставила вам новый способ защиты от вирусов
• Хакеры используют украденные сертификаты Nvidia, чтобы скрыть вредоносное ПО