Historien om skadlig programvara, från spratt till kärnsabotage

Sedan den moderna datorns gryning har mjukvaran varit lika kapabel som de programmerare som skapade den. Deras avsikter blev dess kapacitet, och det har gett oss en värld av underbara och kraftfulla applikationer över en mängd olika plattformar och medier. Längs vägen har det också lett till skapandet av otroligt skadlig, och i vissa fall rent ut sagt farlig, programvara. Vi pratar naturligtvis om skadlig programvara.

Vi har alla stött på skadlig programvara någon gång. Du kanske har blivit spammad under reklamprograms och popup-fönsters storhetstid, då du möttes av en otäck trojan som försökte stjäla din identitet, eller till och med hanterade ett systemförlamande stycke utpressning ransomware. Idag är miljontals och åter miljoner unika program utformade för att rikta in sig på ditt system, dina filer och din plånbok. Även om de alla har olika fotspår och banor, har de alla sina rötter i en ödmjuk början.

För att förstå skadlig programvara måste du återvända till den digitala ursoppa som en dag skulle utvecklas till de miljontals smutsiga program vi möter idag. Detta är historien om skadlig programvara och de tekniker som använts under decennier för att bekämpa den.

En oskyldig födelse

Den moderna världen står inför kriminell och nationalstatshackning som kan hota allas livsstil. Ändå var skadlig programvara fria från illvilja. Då var avsikten att se vad som verkligen var möjligt med datoranvändning, inte att skada, stjäla eller manipulera.

Idén till ett virus, eller en självreplikerande kodsträng, myntades först av datorvisionär John Von Neumman. 1949 postulerade han potentialen för en "självreproducerande automat" som skulle kunna överföra sin programmering till en ny version av sig själv.

"Jag är smygen:
Ta mig om du kan.'

Den första kända inspelade förekomsten av ett datavirus var Creeper Worm, utvecklad av Robert H. Thomas 1971. Den första iterationen av Creeper kunde inte klona sig själv, men den kunde flytta från ett system till ett annat. Det skulle då visa meddelandet "Jag är smygen: Fånga mig om du kan."

Även om det verkar troligt att den första självreplikerande koden och dess skapare går förlorade, är den första registrerade instansen av sådan programvara Creeper Worm, utvecklad av Robert H. Thomas 1971 på BBN Technologies. Creeper körde på operativsystemet TENEX och var imponerande sofistikerat för sin tid. Till skillnad från många av dess efterföljare, som skulle kräva fysiska medier för att sprida sina nyttolaster, kunde Creeper flytta mellan DEC: s PDP-10 stordatorer över den tidigaste iterationen av ARPANET, ett stamnätverk av internet som världen skulle komma att adoptera i senare år. Den första iterationen av Creeper kunde inte klona sig själv, men den kunde flytta från ett system till ett annat. Det skulle då visa meddelandet, "I'm the Creeper: Catch me if you can."

En ny version av Creeper skapades senare av Thomas kollega på BBN Technologies, Ray Thomlinson – mer känd som e-postens uppfinnare. Det duplicerade sig själv, vilket ledde till en tidig förståelse av problemet som sådana virus eller maskar kan orsaka. Hur kontrollerar du dem när du skickar iväg dem? Till slut skapade Thomlinson ett annat program som heter Reaper, som flyttade runt i nätverket och raderade alla kopior av Creeper som den hittade. Thomlinson visste det inte, men han hade skapat den allra första delen av Antivirus mjukvara, starta en kapprustning mellan hackare och säkerhetsproffs som fortsätter till denna dag.

Även om Creeper hånade i sitt budskap, var det inte utformat för att orsaka problem för systemet. Ja, som Thomlinson själv förklarade för datahistorikern Georgei Dalakob, "Creeper-applikationen utnyttjade inte en brist i operativsystemet. Forskningsinsatsen var avsedd att utveckla mekanismer för att överföra applikationer till andra maskiner med avsikt att flytta applikationen till den mest effektiva datorn för sin uppgift."

Toppar och dalar

Under åren som följde spridningen och den efterföljande raderingen av Creeper-viruset från dessa uråldriga stordatorsystem, dök några andra delar av skadlig kod upp och upprepade idén. Det självreplikerande kaninviruset skapades av en okänd – men förmodligen väldigt mycket avskedad – programmerare 1974, och följdes kort därefter av Djurvirus, som tog formen av ett frågesportspel.

Skadlig programvara gick sedan igenom en av sina periodiska utvecklingstorkor. Men allt förändrades 1982, när Elk Cloner dök upp, och en ny våg av virus började stiga.

"Med uppfinningen av PC: n började folk skriva bootsektorvirus som spreds på disketter," Zonlarm Skyler King berättade för Digital Trends. "Människor som piratkopierade spel eller delade dem på disketter [blev infekterade]."

Elk Cloner var den första som använde den attackvektorn, även om den var helt godartad och inte trodde att den hade spridit sig långt. Dess mantel plockades upp fyra år senare av hjärnviruset. Den mjukvaran var tekniskt sett en åtgärd mot piratkopiering skapad av två pakistanska bröder, även om det hade effekten att göra vissa infekterade diskar oanvändbara på grund av timeout-fel.

"Det var typ de första virusen som vi skulle betrakta dem," sa King. "Och de propagerade så att om du lade in en diskett, kunde de kopiera till den och sprida på det sättet." Förändringen i attackvektor var anmärkningsvärt, eftersom att rikta in ett system från en annan vinkel skulle bli kännetecknet för ny skadlig programvara under de år som följt.

"Saker och ting skiftade över till Unix-sidan med den vanliga användningen av internet och universitet, som Morrismasken i november 1988”, fortsatte King. "Det var intressant, eftersom Morris-masken var [skriven av] sonen till chefen för NSA […] Han hittade en brist i två protokoll som användes i Unix. Felet i SMTP, e-postprotokollet som tillät dig att skicka e-post, [användes för att] sprida det, och inom en dag tog det ner internet som det fanns 1988.”

Morris-masken sägs ursprungligen vara designad för att kartlägga internet, men den bombarderade datorer med trafik, och flera infektioner kunde bromsa dem till en genomsökning. Det är slutligen krediteras med att få ner omkring 6 000 system. Robert Morris, maskens skapare, blev den första personen som någonsin prövats enligt Computer Fraud and Abuse Act från 1986. Han dömdes till tre års skyddstillsyn och böter på 10 050 dollar. Idag är Morris en aktiv forskare av datornätverksarkitekturer och anställd professor vid MIT.

Morris Worm blev proof of concept för en mängd andra delar av skadlig programvara från samma period, som alla var inriktade på startsektorer. Det startade nästa våg i virusutveckling. Många varianter av den idén samlades under etiketten "Stoned", med anmärkningsvärda poster som Whale, Tequila och den ökända Michelangelo, som årligen skapade panik i organisationer med infekterade system.

Sommarens sista dagar

Under de första decennierna av deras existens var även de produktiva och skadliga virusen av relativt godartad design. "De var bara människor som hade roligt och försökte få streetcred i undergroundscenen för att visa vad de kunde göra," sa King till Digital Trends.

Defensiva metoder låg dock fortfarande långt efter virusskribenterna. Även enkel skadlig programvara som ILoveYou Worm – som dök upp år 2000 – kan orsaka oöverträffad skada på system världen över.

Malwarebytes' Vice VD för teknik, Pedro Bustamante, minns det väl. "Det var ett visuellt grundläggande skript som var ett massutskick som automatiskt bifogar ett skript, och [antivirusföretagen] var inte redo att göra en massa skriptbaserad upptäckt då," sa han.

Den filippinska programmeraren Onel de Guzman tillskrivs oftast maskens skapelse, även om han har gjort det alltid förnekat att ha utvecklat dess attackvektor och antyder att han kan ha släppt masken av olycka. Vissa rykten tyder på den verkliga boven bakom dess skapelse var en vän till honom, Michael Buen, som lurade Guzman att släppa den på grund av en kärleksrivalitet. ILoveYou Worm orsakade över 15 miljarder dollar i skada globalt.

"Vi var låsta på Panda-labbet i ungefär tre dagar för den där," fortsatte Bustamante. "Folk sov inte. Det var epicentret för den där manusbarnrörelsen där vem som helst kunde skapa ett manus och göra ett massutskick och det skulle få en enorm spridning. Stort antal infektioner. Det var vanligtvis bara möjligt med en avancerad nätverksmask förr i tiden."

Zone Alarm's King mötte liknande sömnlösa nätter med andra skadliga program som spreds över hela landet växande internet under den tiden, med hänvisning till sådana som Code Red och SQL Slammer som särskilt problematisk.

Medan maskar och virus fick säkerhetsexperter att dra ut sig i håret och företagsledare skrämde för miljontals eller miljarder dollar i skada de gjorde, ingen visste att skadlig programvara bara hade börjat. De var på väg att ta en mörk och farlig vändning.

Inte längre ett spel

När internetanvändningen växte började annonsnätverk tjäna pengar online, och dot-coms håvade in investerarnas pengar. Internet förvandlades från ett litet samhälle känt av få till en utbredd, mainstream kommunikationsväg och ett legitimt sätt att tjäna miljontals dollar. Motivet för skadlig programvara följde och skiftade från nyfikenhet till girighet.

^{Kaspersky Cybertthreat realtidskarta visar cyberattacker som äger rum just nu över hela världen.}

"När fler började använda internet och folk tittade på annonser online och företag var ute där tjäna pengar på annonsklick, det var då du började se uppkomsten av adware och spionprogram, säger King fortsatt. "Du började se virus som körde på enskilda datorer som skickade ut skräppost för att försöka köpa in produkter eller adware som använde klickbedrägeri som visade annonser för saker så att det skulle simulera att du klickade på länken, så att de pengar."

Den organiserade brottsligheten insåg snart att smarta programmerare kunde tjäna mycket pengar på etablerade underjordiska företag. Med det blev skadlig programvara flera nyanser mörkare. Färdigförpackade malware-kit skapade av kriminella organisationer började dyka upp online. Kända sådana som MPack användes slutligen för att infektera allt från enskilda hemsystem till stordatorer för banker. Deras nivå av sofistikering och koppling till verkliga brottslingar ökar insatserna för säkerhetsforskare.

"Vi upptäckte MPack på Panda Security, och vi gjorde en undersökning och en stor tidning som var överallt i nyheterna”, förklarade Malwarebytes Bustamante. "Det var då vi började se några av gängen som låg bakom några av dessa mer moderna attacker och skadlig programvara. Det var läskigt. De flesta forskare vid Panda sa att de inte ville ha deras namn i närheten av rapporten."

Men rapporten släpptes, och den belyste hur djupt skadlig programvara och organiserade kriminella gäng hade blivit.

”Det var många ryska gäng. Vi hade bilder på deras sammankomster. Det var som ett företag”, sa Bustamante. "De hade folk som gjorde marknadsföring, chefer, företagsträffar, tävlingar för programmerare som skrev den bästa skadliga programvaran, spårade affiliates, de hade allt. Det var fantastiskt. De tjänade mer pengar än vi.

De pengarna delades med duktiga programmerare, vilket säkerställde att organisationerna attraherade de bästa talangerna de kunde. "Vi började se bilder på maffia-utseende killar från Östeuropa som gav bort snygga bilar till programmerarna och resväskor fulla med pengar", sa han.

Sårbarheter utnyttjade

Jakten på vinst leder till mer sofistikerad skadlig programvara och nya attackvektorer. De Zeus skadlig kod, som dök upp 2006, använde grundläggande social ingenjörskonst för att lura människor att klicka på e-postlänkar, slutligen låta skaparen stjäla offrens inloggningsinformation, ekonomiska detaljer, PIN-koder och Mer. Det underlättade till och med så kallade "man i webbläsaren", attacker, där skadlig programvara kan begära säkerhetsinformation vid inloggningspunkten och samla in ännu mer information från offren.

De som skapade skadlig programvara lärde sig också att de inte behövde använda programvaran själva, utan kunde helt enkelt sälja den till andra. MPack-satsen Bustamante kom över på Panda Security i mitten av 00-talet var ett perfekt exempel. Den uppdaterades månad till månad sedan den tidigt skapades och såldes regelbundet vidare. Till och med den påstådda författaren till Zeus, ryskfödde Evgeniy Mikhailovich Bogachev, började sälja sin skadliga programvara innan han lämnade över kontrollen över Zeus malware-plattform till en annan programmerare. Han är fortfarande på fri fot idag. FBI har en belöning på information som leder till Bogachevs arrestering, erbjuder så mycket som 3 miljoner dollar till alla som kan hjälpa till att fånga honom.

Att sälja färdigförpackad skadlig programvara på det sätt som Bogachev gjorde markerade ytterligare ett skifte i skapandet av skadlig programvara. Nu när skadlig programvara kunde användas för att tjäna pengar, och virusskribenter kunde tjäna pengar på att sälja det som ett verktyg, blev det mer professionellt. Skadlig programvara skapades i en produkt, vanligen kallad ett exploit-kit.

"Det såldes verkligen som ett företag," sa Zone Alarm's King till Digital Trends. "De [erbjöd] support, mjukvaruuppdateringar till de senaste bedrifterna, det var ganska fantastiskt."

År 2007 skapades mer skadlig programvara varje år än vad som hade funnits i hela historien om skadlig programvara, och massattacker på det ständigt växande antalet datorer drev verksamheten. Detta sporrade uppkomsten av storskaliga botnät som erbjöds att hyra ut till dem som ville utföra överbelastningsattacker. Men slutanvändare kunde bara luras att klicka på länkar så länge. När de blev mer utbildade behövde exploateringssatserna och deras författare utvecklas igen.

"[Malware-skribenter] var tvungna att komma på ett sätt att installera hotet automatiskt," sa MalwareBytes vd Marcin Kleczynski till Digital Trends. "Det var där exploateringsteknikerna, social ingenjörskonst och makron i Powerpoint och Excel började bli mycket mer [sofistikerade]."

Lyckligtvis för skadlig programvara började webbplatser och offlineprogramvara att anta Web 2.0-principerna. Användarinteraktion och komplext innehållsskapande blev mycket vanligare. För att anpassa skadlig programvara började författare rikta in sig Internet Explorer, Office-program och Adobe Reader, bland många andra.

"Ju mer komplex programvara blir, desto mer kan den göra, desto fler ingenjörer som arbetar på den […] desto mer misstagsbenägen är programvaran och desto fler sårbarheter kommer du att hitta med tiden," sa Kleczynski. "I takt med att programvaran blir mer komplex och Web 2.0 hände, och Windows fortsatte att utvecklas, blev den mer komplex och mer sårbar för omvärlden."

År 2010 verkade det som att skadlig programvara utan vinstsyfte nästan hade dött ut, och vinstsyfte var den nästan exklusiva motivationen för att skapa den. Det visade sig vara fel. Världen lärde sig plötsligt att organiserad brottslighet var ingenting jämfört med den farligaste skadliga programvaran, skapad i hemlighet av nationer.

Digital krigföring

Det första exemplet på en nation som flexar sin militära makt online var Aurora attack mot Google. Sökjätten, som länge har varit en av världens mest framstående digitala enheter, befann sig under ihållande attack i slutet av 2009 av hackare med anknytning till den kinesiska befrielsearmén. När resten av världen fick reda på det i januari 2010, markerade det en vändpunkt i vad experter insåg att skadlig programvara och dess författare var kapabla till.

Attacken riktade sig till dussintals högnivåteknikföretag som Adobe, Rackspace och Symantec, och ansågs vara ett försök att modifiera källkoden för olika programvarusviter. Senare rapporter antydde att det var en Kinesisk kontraspionageoperation för att upptäcka amerikanska avlyssningsmål. Hur ambitiös och imponerande som den attacken var, men den överträffades bara månader senare.

"Katten kom verkligen ur påsen med Stuxnet,” berättade Bustamante för Digital Trends. "Dessförinnan kunde man se det i vissa attacker och i saker som Pakistan, Indiens internet som skärs ner under havet, [men] Stuxnet är där skiten träffade fläkten, och alla började skrämma ut."

Stuxnet byggdes för att sabotera Irans kärnkraftsprogram, och det fungerade. Redan nu, åtta år efter dess framträdande, talar säkerhetspersonal om Stuxnet med en ton av vördnad. "Kedja samman flera nolldagars sårbarheter, riktigt avancerad inriktning på specifika kärntekniska anläggningar. Det är fantastiskt, sa Bustamante. "Det är den typen av saker som du bara skulle se i en roman."

Kleczynski var lika imponerad. "[...] om du tittar på utnyttjande som används för en offensiv cybersäkerhetskapacitet, så var det en ganska jävla bra sådan. Hur det gick efter Siemens programmerbara logikdatorer? Den var vackert utformad för att förstöra centrifugerna."

Även om ingen tog på sig ansvaret för Stuxnet under åren som följde, tror de flesta säkerhetsforskare att det är ett arbete av en kombinerad amerikansk-israelisk arbetsgrupp. Det verkade bara mer troligt när andra avslöjanden, som NSA-hårddiskhackning, visade nationalstatshackarnas verkliga potential.

Stuxnets attackstil skulle snart bli vardag. Exploateringssatser fortsatte att vara en stor attackvektor under åren som följde, men som Bustamante berättade för oss i vår intervju, nolldagssårbarheter kedjade samman är nu något som Malwarebytes och dess samtida ser varje dag.

Det är inte allt de ser. Det finns ett nytt fenomen med ursprung som kan spåras nästan tillbaka till början av vår berättelse. Det har inte orsakat några problem än så länge, och kan mycket väl göra det i framtiden.

Dina pengar eller dina filer

Den allra första ransomware-attacken skedde tekniskt sett så långt tillbaka som 1989, med AIDS-trojanen. Skickades ut till AIDS-forskare på en infekterad diskett, skadlig programvara väntade på att systemet startas upp 90 gånger innan du krypterar filer och kräver en betalning på 189 USD kontant, skickat till en postboksadress i Panama.

Även om den skadliga programvaran kallades en trojan vid den tiden, idén att tvångsförvirra filer, neka en användare tillgång till sitt eget system, och kräva någon form av betalning för att återställa det till det normala, blev nyckelkomponenterna i ransomware. Det började dyka upp igen i mitten av 00-talet, men det var det tillväxten av anonym kryptovaluta Bitcoin som gjorde ransomware vanligt.

"Om du infekterar någon med ransomware och ber dem att sätta in på ett bankkonto kommer det kontot att stängas ganska snabbt," förklarade Zone Alarm's King. "Men om du ber någon att sätta in lite bitcoin i en plånbok, betalar konsumenterna. Det finns verkligen inget sätt att stoppa det."

Med tanke på hur svårt det är att reglera bitcoin i vardagliga funktioner med legitim användning, är det vettigt att stoppa det från att utnyttjas av kriminella är ännu mer så. Speciellt eftersom folk betalar lösensummor. Precis som med exploatpaketen och företagsstrukturen som stödjer dem, gör ransomware-utvecklare det så enkelt som möjligt för offer att köpa kryptovaluta och skicka den till dem.

Men under den senare hälften av tonåren av 21^st århundradet har vi börjat se ytterligare utveckling av dessa taktiker, eftersom återigen de som skriver den skadliga programvaran har följt pengarna.

"Det som har förvånat mig med ransomware är hur snabbt det gick från dig och jag till våra företag," sa Kleczynski. "För ett eller två år sedan var det vi som blev infekterade, inte Malwarebytes, inte SAP, Oracle och så vidare. De har tydligt sett pengarna och företag är villiga att betala dem."

Vad kommer härnäst?

För de flesta av experterna vi pratade med, ransomware fortsätter att vara det stora hotet de bryr sig om. Zone Alarm's King var angelägen om att prata om sitt företags nya anti-ransomware-skydd och hur företag behövde vara medvetna om hur farlig taktiken var.

Kleczynski ser det som en oerhört lönsam modell för författare av skadlig programvara, särskilt när du tar in uppkomsten av infekterade Internet of Things-enheter, som har utgjort några av de största botnät som världen någonsin har sett.

^{Timelapse av en DDoS-attack som ägde rum 2015 på juldagen.}

Med hjälp av British Airways webbplats som ett exempel, ställde han den retoriska frågan om hur mycket det skulle vara värt det för det företaget att behålla sitt online-biljettsystem om det hotades. Skulle ett sådant företag vara villigt att betala en utpressare 50 000 dollar om dess webbplats skulle gå ner för ens några timmar? Skulle det betala 10 000 dollar bara för hotet om en sådan åtgärd?

Med potential att förlora miljoner i försäljning, eller till och med miljarder i marknadsvärde om aktiekurser skulle reagera på en sådan attack, är det inte svårt att föreställa sig en värld där det är en regelbunden händelse. För Kleczynski är detta bara den gamla världen som äntligen kommer ikapp den nya. Det är den organiserade brottslighetens taktik från förr som tillämpas på en modern värld.

"Det här brukade bara vara utpressning. "Vill du köpa en brandförsäkring? Det skulle vara synd om något hände med din byggnad", sa han. "Idag är det" skulle du vilja köpa någon ransomware-försäkring? Det skulle vara synd om din webbplats gick ner i 24 timmar.'"

Den kriminella inblandningen skrämmer fortfarande MalwareBytes Bustamante, som berättar att företaget regelbundet ser hot mot sina utvecklare gömda i skadlig kod.

Även om han och företaget är oroliga för sin egen personliga säkerhet, ser han nästa våg som något mer än bara ransomware. Han ser det som ett angrepp på vår förmåga att uppfatta världen omkring oss.

"Om du frågar mig vad nästa våg är, är det falska nyheter", sa han. "Malvertising har gått vidare […] det är nu clickbait och falska nyheter. Att sprida den här typen av nyheter är namnet på spelet och det kommer att bli nästa stora våg.” Med tanke på hur inblandade nationalstater verkar ha varit under de senaste åren är det svårt att föreställa sig att han har fel.

Lika hotfulla som skadliga attacker från organiserad brottslighet, regeringssponsrade vigilanter och militariserade hackare är de mest trygghet du kan ta i en sådan tid av osäkerhet är att den svagaste länken i säkerhetskedjan nästan alltid är slutet användare. Det är du..

Det är skrämmande, men stärkande också. Det betyder att även om människorna skriver skadlig programvara, attackvektorerna och själva anledningen till att skapa virus och trojaner i första hand kan ha förändrats, de bästa sätten att vara säker på nätet är de gamla sätt. Behåll starka lösenord. Patcha din programvara. Och var försiktig med vilka länkar du klickar på.

Som Malwarebytes Klecyzinski sa till oss efter vår intervju, "Om du inte är paranoid kommer du inte att överleva."

Redaktörens rekommendationer

• Microsoft har precis gett dig ett nytt sätt att skydda dig mot virus
• Hackare använder stulna Nvidia-certifikat för att dölja skadlig programvara