Историја злонамерног софтвера, од шале до нуклеарне саботаже

Од почетка модерног рачунарства, софтвер је био способан колико и програмери који су га креирали. Њихове намере су постале његове могућности, а то нам је донело свет чудесних и моћних апликација на разним платформама и медијима. Успут, то такође доводи до стварања невероватно злонамерног, а у неким случајевима и потпуно опасног софтвера. Наравно, говоримо о малверу.

Сви смо у неком тренутку наишли на малвер. Можда сте добили нежељену пошту током процвата рекламног софтвера и искачућих прозора, суочени са гадним тројанцем који су покушали да вам украду идентитет, или се чак бавили уценама које паралишу систем рансомваре. Данас су милиони и милиони јединствених програма дизајнирани да циљају ваш систем, ваше датотеке и ваш новчаник. Иако сви имају различите отиске и путање, сви имају своје корене у скромним почецима.

Да бисте разумели злонамерни софтвер, морате се вратити на дигиталну примордијалну супу која ће једног дана еволуирати у милионе подлих програма са којима се данас суочавамо. Ово је историја малвера и техника које се деценијама користе за борбу против њега.

Невино рођење

Савремени свет се суочава са криминалним хаковањем и хаковањем националне државе које би могло да угрози свачији начин живота. Ипак, рани дани злонамерног софтвера нису били злонамерни. Тада је намера била да се види шта је заиста могуће са рачунарством, а не да се повреди, краде или манипулише.

Идеју за вирус, или самореплицирајући низ кода, први пут је сковао рачунарски визионар Џон фон Нојман. Године 1949. он је претпоставио потенцијал за „саморепродуцирајући аутомат” који би могао да пренесе своје програмирање на нову верзију себе.

„Ја сам пузавац:
Ухвати ме ако можеш.'

Први познати забележени пример компјутерског вируса био је црв Цреепер, који је развио Роберт Х. Томас 1971. године. Прва итерација Цреепер-а није могла да се клонира, али је могла да пређе са једног система на други. Затим би приказао поруку „Ја сам пузавац: Ухвати ме ако можеш“.

Иако се чини вероватно да су први самореплицирајући код и његов креатор изгубљени, прва забележена инстанца таквог софтвера је Цреепер Ворм, који је развио Роберт Х. Томас 1971. године у ББН Тецхнологиес. Цреепер је радио на ТЕНЕКС оперативном систему и био је импресивно софистициран за своје време. За разлику од многих његових наследника, који би захтевали физичке медије за ширење свог терета, Цреепер је могао да се креће између ДЕЦ-овог ПДП-10 мејнфрејм рачунари преко најраније итерације АРПАНЕТ-а, изворне мреже интернета коју ће свет касније усвојити године. Прва итерација Цреепер-а није могла да се клонира, али је могла да пређе са једног система на други. Затим би приказао поруку: „Ја сам пузавац: Ухвати ме ако можеш“.

Нову верзију Цреепер-а је касније креирао Тхомасов колега из ББН Тецхнологиес, Раи Тхомлинсон – познатији као изумитељ е-поште. Он се дуплирао, што је довело до раног разумевања проблема које такви вируси, или црви, могу да изазову. Како их контролишете када их пошаљете? На крају, Тхомлинсон је направио још један програм под називом Реапер, који се кретао по мрежи и брисао све копије Цреепера које је пронашао. Томлинсон то није знао, али је створио први комад антивирусни софтвер, започињући трку у наоружању између хакера и професионалаца у области безбедности то траје до данас.

Цреепер, иако подругљив у својој поруци, није дизајниран да ствара проблеме систему. Заиста, као и сам Томлинсон објаснио је историчару рачунарства Џорџију Далакобу, „Цреепер апликација није искоришћавала недостатак оперативног система. Истраживачки напор је имао за циљ да се развију механизми за довођење апликација на друге машине са намером да се апликација премести на најефикаснији рачунар за свој задатак.”

Врхови и корита

У годинама које су уследиле након ширења и накнадног брисања вируса Цреепер са тих древних система главног рачунара, појавило се неколико других делова малвера и поновило ту идеју. Вирус Зеца који се самореплицира створио је непознати – али наводно, веома отпуштен – програмер 1974. године, а убрзо затим следи и Вирус животиња, која је имала облик квиза.

Креирање злонамерног софтвера је тада прошло кроз једну од својих периодичних развојних суша. Али то се све променило 1982. године, када се појавио Елк Цлонер, а нови талас вируса је почео да расте.

„Са проналаском рачунара, људи су почели да пишу вирусе сектора за покретање који су се ширили на дискетама,“ Зонски аларм Скајлер Кинг је рекла за Дигитал Трендс. „Људи који су пирали игре или их делили на дискетама [били су заражени].“

Елк Цлонер је био први који је користио тај вектор напада, иако је био потпуно бенигни и није се сматрало да се далеко проширио. Његов плашт је четири године касније покупио вирус мозга. Тај комад софтвера је технички био мера против пиратерије створила два пакистанска брата, иако је то довело до тога да неке заражене дискове учини неупотребљивим због грешака у временском ограничењу.

„То су били неки први вируси како бисмо их сматрали“, рекао је Кинг. „И пропагирали су тако да ако ставите дискету, могли су да копирају на њу и да се шире на тај начин.“ Промена вектора напада био вредан пажње, јер би циљање система из другог угла постало обележје новог малвера у годинама које затим.

„Ствари су се некако пребациле на Уник страну са уобичајеном употребом интернета и универзитета, нпр. Морисов црв новембра 1988.“, наставио је Кинг. „То је било интересантно, јер је Моррисов црв [написао] син шефа НСА […] Он је пронашао недостатак у два протокола који су коришћени у Унику. Грешка у СМТП-у, протоколу за пошту који вам је омогућавао да шаљете е-пошту, [користио се да га] пропагира, и у року од једног дана је уклонио интернет какав је постојао 1988.

Речено је да је Моррисов црв првобитно дизајниран за мапирање интернета, али је бомбардовао рачунаре саобраћајем, а вишеструке инфекције би могле да их успоре до пузања. На крају је заслужан за рушење око 6.000 система. Роберт Морис, творац црва, постао је прва особа која је икада суђена према Закону о компјутерској превари и злоупотреби из 1986. Осуђен је на три године условно и новчано од 10.050 долара. Данас је Морис активан истраживач архитектуре рачунарских мрежа и редовни професор на МИТ-у.

Моррис Ворм је постао доказ концепта за низ других делова малвера из тог истог периода, од којих су сви били усмерени на секторе за покретање. То је започело следећи талас развоја вируса. Многе варијанте те идеје прикупљене су под ознаком „Стонед“, са значајним уносима као што су Вхале, Текуила и злогласни Микеланђело, што је сваке године стварало панику у организацијама са зараженим системима.

Последњи дани лета

У првим деценијама свог постојања, чак су и плодни и штетни вируси били релативно бенигног дизајна. „Били су само људи који су се забављали покушавајући да стекну улицу на андерграунд сцени како би показали шта могу да ураде“, рекао је Кинг за Дигитал Трендс.

Међутим, одбрамбене методе су и даље биле далеко иза аутора вируса. Чак и једноставан злонамерни софтвер као што је ИЛовеИоу Ворм — који се појавио 2000. године — могао би да изазове невиђену штету системима широм света.

Малваребитес„ Потпредседник технологије, Педро Бустаманте, добро се сећа тога. „То је била визуелна основна скрипта која је била масовна е-порука која би аутоматски приложила скрипту, а [анти-вирусне компаније] тада нису биле спремне да ураде много детекције засноване на скрипти“, рекао је он.

Филипински програмер Онел де Гузман најчешће је заслужан за стварање црва, иако јесте увек негирао да је развио вектор напада и сугерише да је можда пустио црва незгода. Неке гласине сугеришу прави кривац за његово стварање био је његов пријатељ, Мајкл Буен, који је преварио Гузмана да га пусти због љубавног ривалства. ИЛовеИоу Ворм је нанео штету од преко 15 милијарди долара широм света.

„Били смо у блокади у лабораторијама Панда отприлике три дана за то“, наставио је Бустаманте. „Људи нису спавали. То је био епицентар тог покрета за децу скрипте где је свако могао да направи сценарио и направи масовну пошту и то би имало огромну пропагацију. Огроман број инфекција. То је обично било могуће само са напредним мрежним црвом у то време."

Зоне Аларм’с Кинг се суочио са сличним бесаним ноћима са неким другим злонамерним софтвером који се ширио широм растући интернет током тог времена, посебно наводећи као што су Цоде Ред и СКЛ Сламмер проблематично.

Док су црви и вируси имали стручњаке за безбедност да чупају косу, а руководиоци компанија уплашени милионима или милијарде долара штете коју су правили, нико није знао да су ратови малвера тек почели. Спремали су се да крену мрачним и опасним заокретом.

Више није игра

Како је употреба интернета расла, рекламне мреже су почеле да зарађују новац на мрежи, а дот-комови су сакупљали новац инвеститора. Интернет се трансформисао из мале заједнице коју мало ко зна у широко распрострањен, мејнстрим пут комуникације и легитиман начин да се заради милионе долара. Мотив за злонамерни софтвер је уследио, прелазећи са радозналости на похлепу.

^{Мапа у реалном времену Касперски Цибертхреат приказује сајбер нападе који се тренутно дешавају широм света.}

„Када је више људи почело да користи интернет и људи су гледали рекламе на мрежи, а компаније су нестале тамо зарађујете на кликовима на огласе, тада сте почели да видите пораст рекламног и шпијунског софтвера“, Кинг наставио. „Почели сте да видите вирусе који су се покретали на појединачним рачунарима који су слали нежељену пошту да би покушали да купе производе или рекламни софтвер који су користили превару кликова који су приказивали огласе за ствари тако да би симулирали ваш клик на везу, како би новац.”

Организовани криминал је убрзо схватио да паметни програмери могу да зараде много новца основаним подземним предузећима. Тиме је сцена злонамерног софтвера постала неколико нијанси тамнија. Унапред упаковани комплети малвера које су креирале криминалне организације почели су да се појављују на мрежи. Познати попут МПацк-а су на крају коришћени за заразу свега, од појединачних кућних система, до банкарских мејнфрејмова. Њихов ниво софистицираности и повезаност са криминалцима из стварног света повећавају улог за истраживаче безбедности.

„Открили смо МПацк у Панда Сецурити-у, и урадили смо истрагу и велики папир који је био у свим вестима“, објаснио је Бустаманте из Малваребитес-а. „Тада смо почели да виђамо неке од банди које стоје иза неких од ових модернијих напада и малвера. Било је страшно. Већина истраживача у Панди је рекла да не желе своје име нигде близу извештаја.

Али извештај је објављен и у њему је истакнуто колико су злонамерни софтвер и организовани криминални банди постали дубоки.

„Било је то много руских банди. Имали смо слике њихових окупљања. Било је као компанија”, рекао је Бустаманте. „Имали су људе који се баве маркетингом, руководиоце, окупљања компанија, такмичења за програмере који су написали најбољи малвер, праћење филијала, имали су све. Било је невероватно. Они су зарађивали више новца од нас.”

Тај новац је подељен са талентованим програмерима, осигуравајући да организације привуку најбоље таленте које су могле. „Почели смо да виђамо слике момака из источне Европе који изгледају као мафијаши који поклањају отмене аутомобиле програмерима и кофере пуне новца“, рекао је он.

Рањивости су искоришћене

Потрага за профитом довела је до софистициранијег малвера и нових вектора напада. Тхе Зеус малвер, који се појавио 2006. године, користио је основни друштвени инжењеринг да превари људе да кликну на линкове е-поште, на крају дозвољавајући креатору да украде податке за пријаву жртава, финансијске детаље, ПИН кодове и више. Чак је олакшао такозване нападе „човек у претраживачу“, где злонамерни софтвер може да захтева безбедносне информације на месту пријављивања, прикупљајући још више информација од жртава.

Они који стварају злонамерни софтвер такође су научили да не морају сами да користе софтвер и да могу једноставно да га продају другима. Комплет МПацк који је Бустаманте наишао у Панда Сецурити средином 2000-их био је савршен пример. Ажуриран је из месеца у месец од његовог раног стварања и редовно се препродавао. Чак је и наводни аутор Зевса, Евгениј Михајлович Богачев рођен у Русији, почео да продаје свој малвер, пре него што је препустио контролу над платформом злонамерног софтвера Зеус другом програмеру. Он је и данас на слободи. ФБИ има награду за информације које су довеле до хапшења Богачева, нудећи чак 3 милиона долара свакоме ко може помоћи да га ухвати.

Продаја унапред упакованог малвера на начин на који је то урадио Богачев означила је још један помак у стварању малвера. Сада када је злонамерни софтвер могао да се користи за зарађивање новца, а писци вируса могли да зараде новац продајући га као алат, постао је професионалнији. Злонамерни софтвер је направљен у производ, који се обично назива комплет за експлоатацију.

„Заиста је продат као посао“, рекао је Кинг из Зоне Аларма за Дигитал Трендс. „Они су [понудили] подршку, ажурирања софтвера за најновије експлоатације, било је прилично невероватно.

До 2007. сваке године се стварало више малвера него што је постојало у читавој историји малвера, а масовни напади на све већи број рачунара покретали су пословање. Ово је подстакло успон ботнети великих размера који су нуђени за изнајмљивање онима који су желели да спроведу нападе ускраћивања услуге. Али крајњи корисници могу бити преварени да кликну на везе само толико дуго. Како су постали образованији, комплети за експлоатацију и њихови аутори морали су поново да еволуирају.

„[Писци малвера] морали су да смисле начин да аутоматски инсталирају претњу“, рекао је извршни директор МалвареБитес-а Марцин Клечински за Дигитал Трендс. „Тамо су технике експлоатације, друштвени инжењеринг и макрои у Поверпоинт-у и Екцел-у почеле да постају много [софистицираније].“

На срећу аутора малвера, веб-сајтови и офлајн софтвер почели су да усвајају принципе Веб 2.0. Корисничка интеракција и креирање сложеног садржаја постајали су све присутнији. Да би се прилагодили, писци злонамерног софтвера су почели да циљају интернет претраживач, Оффице апликације и Адобе Реадер, између многих других.

„Што је софтвер сложенији, то више може да уради, што више инжењера ради на њему […] то је софтвер склонији грешкама и више рањивости ћете пронаћи током времена“, рекао је Клечински. „Како софтвер постаје сложенији и Веб 2.0 се десио, а Виндовс је наставио да се развија, постао је сложенији и рањивији на спољни свет.“

До 2010. изгледало је да је злонамерни софтвер за непрофитне организације скоро изумро, а профит је био скоро искључива мотивација за његову израду. То је, показало се, погрешно. Свет је изненада сазнао да организовани криминал није ништа у поређењу са најопаснијим малвером, који су у тајности креирале нације.

Дигитално ратовање

Први пример нације која користи своју војну моћ на интернету био је Аурора напад на Гоогле. Гигант за претрагу, који је дуго био један од најистакнутијих светских дигиталних ентитета, нашао се под континуираним нападом на крају 2009. од стране хакера који су повезани са Кинеском ослободилачком војском. Када је остатак света сазнао за то у јануару 2010. године, то је означило прекретницу у томе за шта су стручњаци схватили да су малвер и његови аутори способни.

Напад је циљао на десетине компаније на високом нивоу као што је Адобе, Рацкспаце и Симантец, а сматрало се да су то покушај модификације изворног кода различитих софтверских пакета. Каснији извештаји сугерисали су да је то а Кинеска контраобавештајна операција да открију америчке мете прислушкивања. Колико год да је тај напад био амбициозан и импресиван, ипак је превазиђен само неколико месеци касније.

„Мачка је заиста изашла из торбе са Стукнетом,“, рекао је Бустаманте за Дигитал Трендс. „Пре тога […] то сте могли да видите у одређеним нападима и у стварима попут интернета у Пакистану, Индији посечен под морем, [али] Стукнет је место где је срање погодило вентилатор, и сви су почели да полуде напоље.”

Стукнет је направљен да саботира ирански нуклеарни програм и успео је. Чак и сада, осам година након његовог појављивања, стручњаци за безбедност говоре о Стукнету са тоном страхопоштовања. „Удруживање неколико рањивости нултог дана, заиста напредно циљање специфичних нуклеарних објеката. Невероватно је", рекао је Бустаманте. "То је врста ствари које бисте видели само у роману."

Клечински је био исто толико импресиониран. „[...] ако погледате експлоатације које се користе за увредљиву способност сајбер-безбедности, то је било проклето добро. [начин на који је ишло након] Сиеменс програмибилних логичких рачунара? Било је предивно дизајнирано да уништи центрифуге."

Иако нико није преузео одговорност за Стукнет у годинама које су уследиле, већина истраживача безбедности мисли да је то дело комбиноване америчко-израелске радне групе. То је изгледало вероватније само када су друга открића, као НСА хаковање фирмвера чврстог диска, показао прави потенцијал хакера националне државе.

Стукнет стил напада ће ускоро постати уобичајен. Експлоатациони комплети су и даље били главни вектор напада у годинама које су уследиле, али како нам је Бустаманте рекао у нашем интервјуу, рањивости нултог дана повезане заједно су сада нешто што Малваребитес и његови савременици виде сваки дан.

То није све што виде. Постоји нови феномен са пореклом који се може пратити скоро до почетка наше приче. То није изазвало крај невољама у последње време, а могло би да буде и у будућности.

Ваш новац или ваше датотеке

Први напад рансомваре-а технички се догодио још 1989. године, са АИДС тројанац. Послат истраживачима АИДС-а на зараженој дискети, малвер би чекао да се систем покрене 90 пута пре шифровања датотека и захтевања плаћања од 189 долара у готовини, послатог на адресу поштанског сандучета у Панама.

Иако се тај комад малвера у то време звао тројанац, идеја о насилном замагљивању датотека, ускраћивању корисника приступ сопственом систему и захтевање неког облика плаћања да би се вратио у нормалу, постали су кључне компоненте рансомваре. Поново је почео да излази на површину средином 20. века, али јесте раст анонимне криптовалуте Битцоин то је учинило рансомваре уобичајеним.

„Ако некога заразите рансомваре-ом и замолите га да уплати средства на банковни рачун, тај рачун ће се затворити прилично брзо“, објаснио је Кинг Зоне Аларм. „Али ако замолите некога да положи нешто биткоина у новчаник, потрошачи плаћају. Заиста не постоји начин да се то заустави."

С обзиром на то колико је тешко регулисати биткоин у свакодневним функцијама уз легитимну употребу, има смисла да је спречавање да га криминалци искористе још више. Поготово што људи плаћају откуп. Баш као и код комплета за експлоатацију и корпоративне структуре која их подржава, програмери рансомваре-а олакшавају жртвама да купе криптовалуту и ​​пошаљу им је што је више могуће.

Али у другој половини тинејџерских година 21^ст века, почели смо да видимо даљу еволуцију ових тактика, јер су они који су писали злонамерни софтвер поново пратили новац.

„Оно што ме је изненадило код рансомваре-а је колико је брзо прешао од вас и мене до наших компанија“, рекао је Клечински. „Пре годину или две заразили смо се ми, а не Малваребитес, не САП, Орацле и тако даље. Они су јасно видели новац и компаније су спремне да га плате."

Шта је следеће?

За већину стручњака са којима смо разговарали, рансомваре и даље представља велику претњу они су забринути за. Краљ Зоне Аларма је желео да говори о новој заштити своје компаније против рансомвера и о томе како компаније морају да буду свесне колико је та тактика опасна.

Клечински га види као изузетно профитабилан модел за писце злонамерног софтвера, посебно када доведете до пораста заражених уређаја Интернета ствари, који су чинили неке од највећи ботнети које је свет икада видео.

^{Тимелапсе ДДоС напада који се догодио 2015. на Божић.}

Користећи веб страницу Бритисх Аирваиса као пример, поставио је реторичко питање колико би се исплатило тој компанији да одржи свој систем за продају карата на мрежи ако буде угрожена. Да ли би таква компанија била спремна да плати изнуђивачу 50.000 долара ако би се њена веб страница покварила чак и на неколико сати? Да ли би платио 10.000 долара само на претњу таквом акцијом?

Са потенцијалом да се изгубе милиони у продаји, или чак милијарде у тржишној вредности ако цене акција реагују на такав напад, није тешко замислити свет у коме је то редовна појава. За Клечинског, ово је само стари свет који коначно сустиже нови. То је досадашња тактика организованог криминала која се примењује на савремени свет.

„Ово је некада било само рекетирање. „Да ли бисте желели да купите осигурање од пожара? Било би штета да се нешто деси вашој згради“, рекао је он. „Данас је „да ли бисте желели да купите осигурање од рансомваре-а? Било би штета да вам веб-сајт не ради 24 сата.”

Та криминална умешаност и даље плаши МалвареБитес-овог Бустамантеа, који нам каже да компанија редовно види претње својим програмерима скривене у коду злонамерног софтвера.

Иако су он и компанија забринути за сопствену безбедност, он следећи талас види као нешто више од обичног рансомваре-а. Он то види као напад на нашу способност да перципирамо свет око нас.

„Ако ме питате који је следећи талас, то су лажне вести“, рекао је он. „Малвертисинг је кренуо даље […] сада је мамац за кликове и лажне вести. Ширење ове врсте вести је назив игре и то ће бити велики следећи талас." С обзиром на то како чини се да су укључене националне државе у тој пракси последњих година, тешко је замислити да греши.

Претећи као напади злонамерног софтвера организованог криминала, осветници које спонзорише влада и милитаризовани хакери су највише уверавање које можете узети у таквом времену неизвесности је да је најслабија карика у ланцу безбедности скоро увек крај корисник. То си ти..

То је застрашујуће, али и оснажујуће. То значи да иако људи пишу малвер, вектори напада и сам разлог за стварање вируси и тројанци су се можда променили, најбољи начини да останете безбедни на мрежи су стари начине. Чувајте јаке лозинке. Закрпи свој софтвер. И пазите на које везе кликнете.

Као што нам је Малваребитес Клецизински рекао након нашег интервјуа, „Ако нисте параноични, нећете преживети.

Препоруке уредника

• Мицрософт вам је управо дао нови начин заштите од вируса
• Хакери користе украдене Нвидиа сертификате да сакрију малвер