ประวัติความเป็นมาของมัลแวร์ ตั้งแต่การแกล้งกันไปจนถึงการก่อวินาศกรรมด้วยนิวเคลียร์

นับตั้งแต่รุ่งอรุณของคอมพิวเตอร์ยุคใหม่ ซอฟต์แวร์มีความสามารถพอๆ กับโปรแกรมเมอร์ที่สร้างมันขึ้นมา ความตั้งใจของพวกเขากลายเป็นความสามารถ และนั่นนำพาเราไปสู่โลกแห่งแอปพลิเคชันที่มหัศจรรย์และทรงพลังบนแพลตฟอร์มและสื่อที่หลากหลาย ระหว่างทาง ยังนำไปสู่การสร้างซอฟต์แวร์ที่เป็นอันตรายอย่างไม่น่าเชื่อ และในบางกรณีก็เป็นอันตรายอย่างยิ่ง แน่นอนว่าเรากำลังพูดถึงมัลแวร์

เราทุกคนเคยเจอมัลแวร์มาก่อน คุณอาจถูกสแปมในช่วงรุ่งเรืองของแอดแวร์และป๊อปอัป โดยต้องเผชิญกับโทรจันที่น่ารังเกียจ ที่พยายามขโมยตัวตนของคุณ หรือแม้แต่จัดการกับการแบล็กเมล์ที่ทำให้ระบบเป็นอัมพาต แรนซัมแวร์ ทุกวันนี้ โปรแกรมที่ไม่ซ้ำกันหลายล้านโปรแกรมได้รับการออกแบบมาเพื่อกำหนดเป้าหมายระบบ ไฟล์ และกระเป๋าเงินของคุณ แม้ว่าพวกเขาทั้งหมดจะมีรอยเท้าและวิถีที่แตกต่างกัน แต่พวกเขาต่างก็มีรากฐานมาจากจุดเริ่มต้นที่ต่ำต้อย

เพื่อทำความเข้าใจมัลแวร์ คุณต้องกลับไปสู่ยุคดึกดำบรรพ์ทางดิจิทัลที่วันหนึ่งจะพัฒนาเป็นโปรแกรมชั่วร้ายนับล้านที่เราเผชิญอยู่ในปัจจุบัน นี่คือประวัติความเป็นมาของมัลแวร์ และเทคนิคต่างๆ ที่ใช้มานานหลายทศวรรษเพื่อต่อสู้กับมัลแวร์

การเกิดที่ไร้เดียงสา

โลกสมัยใหม่เผชิญกับการแฮ็กทางอาญาและรัฐชาติที่อาจคุกคามวิถีชีวิตของทุกคน แต่ในยุคแรก ๆ ของมัลแวร์นั้นปราศจากการมุ่งร้าย ย้อนกลับไปในตอนนั้น ความตั้งใจคือการดูว่าอะไรเป็นไปได้อย่างแท้จริงด้วยการประมวลผล ไม่ใช่ทำอันตราย ขโมย หรือบงการ

แนวคิดเรื่องไวรัสหรือชุดโค้ดที่จำลองตัวเองได้ ได้รับการประดิษฐ์ขึ้นเป็นครั้งแรกโดยผู้มีวิสัยทัศน์ด้านคอมพิวเตอร์ จอห์น วอน นึมแมน. ในปี 1949 เขาได้ตั้งสมมติฐานถึงศักยภาพของ "ออโตมาตะที่สร้างตัวเองได้" ซึ่งสามารถถ่ายทอดการเขียนโปรแกรมไปสู่เวอร์ชั่นใหม่ได้

'ฉันเป็นไม้เลื้อย:
จับฉันซิถ้าคุณทำได้.'

ตัวอย่างแรกของไวรัสคอมพิวเตอร์ที่บันทึกไว้คือ Creeper Worm ซึ่งพัฒนาโดย Robert H. โทมัสในปี 1971 การทำซ้ำครั้งแรกของ Creeper ไม่สามารถโคลนตัวเองได้ แต่สามารถย้ายจากระบบหนึ่งไปอีกระบบหนึ่งได้ จากนั้นจะแสดงข้อความว่า "ฉันคือครีปเปอร์: จับฉันให้ได้ถ้าคุณทำได้"

แม้ว่าดูเหมือนว่าโค้ดที่จำลองตัวเองตัวแรกและผู้สร้างโค้ดจะสูญหายไป แต่อินสแตนซ์แรกที่บันทึกไว้ของซอฟต์แวร์ดังกล่าวคือ Creeper Worm พัฒนาโดย Robert H. โทมัสในปี 1971 ที่บีบีเอ็น เทคโนโลยีส์ Creeper ทำงานบนระบบปฏิบัติการ TENEX และมีความซับซ้อนอย่างน่าประทับใจในช่วงเวลานั้น ซึ่งแตกต่างจากผู้สืบทอดหลายรายซึ่งต้องใช้สื่อทางกายภาพเพื่อกระจายน้ำหนักบรรทุก Creeper สามารถเคลื่อนย้ายไปมาระหว่าง PDP-10 ของ DEC คอมพิวเตอร์เมนเฟรมในช่วงแรกของ ARPANET ซึ่งเป็นเครือข่ายต้นกำเนิดของอินเทอร์เน็ตที่โลกจะนำมาใช้ในภายหลัง ปี. การทำซ้ำครั้งแรกของ Creeper ไม่สามารถโคลนตัวเองได้ แต่สามารถย้ายจากระบบหนึ่งไปอีกระบบหนึ่งได้ จากนั้นจะแสดงข้อความว่า “ฉันคือครีปเปอร์: จับฉันให้ได้ถ้าทำได้”

Creeper เวอร์ชันใหม่ถูกสร้างขึ้นในภายหลังโดยเพื่อนร่วมงานของ Thomas ที่ BBN Technologies เรย์ ทอมลินสัน – รู้จักกันดีในนามผู้ประดิษฐ์อีเมล มันทำซ้ำตัวเอง ซึ่งนำไปสู่ความเข้าใจตั้งแต่เนิ่นๆ เกี่ยวกับปัญหาที่ไวรัสหรือเวิร์มดังกล่าวอาจทำให้เกิดได้ คุณจะควบคุมพวกเขาอย่างไรเมื่อคุณส่งพวกเขาออกไป? ในท้ายที่สุด ทอมลินสันได้สร้างโปรแกรมอีกตัวชื่อ Reaper ซึ่งเคลื่อนที่ไปรอบๆ เครือข่ายและลบสำเนาของ Creeper ที่พบ ทอมลินสันไม่รู้ แต่เขาได้สร้างผลงานชิ้นแรกขึ้นมา โปรแกรมแอนตี้ไวรัสเริ่มการแข่งขันทางอาวุธระหว่างแฮกเกอร์และผู้เชี่ยวชาญด้านความปลอดภัย ซึ่งดำเนินมาจนถึงทุกวันนี้.

Creeper แม้จะเยาะเย้ยในข้อความ แต่ก็ไม่ได้ออกแบบมาเพื่อสร้างปัญหาให้กับระบบ แท้จริงแล้วเหมือนกับทอมลินสันเอง อธิบายให้ Georgei Dalakob นักประวัติศาสตร์คอมพิวเตอร์ฟัง “แอปพลิเคชัน Creeper ไม่ได้ใช้ประโยชน์จากข้อบกพร่องของระบบปฏิบัติการ ความพยายามในการวิจัยมีวัตถุประสงค์เพื่อพัฒนากลไกในการนำแอปพลิเคชันไปยังเครื่องอื่นโดยมีจุดประสงค์เพื่อย้ายแอปพลิเคชันไปยังคอมพิวเตอร์ที่มีประสิทธิภาพสูงสุดสำหรับงานของมัน”

ยอดเขาและรางน้ำ

ในช่วงหลายปีต่อจากการแพร่กระจายและการลบไวรัส Creeper ออกจากระบบเมนเฟรมแบบโบราณเหล่านั้น มัลแวร์อื่นๆ อีกสองสามชิ้นก็ปรากฏขึ้นและทำซ้ำตามแนวคิดนี้ ไวรัส Rabbit ที่จำลองตัวเองถูกสร้างขึ้นโดยไม่ทราบชื่อ – แต่ ควรจะไล่ออกมาก – โปรแกรมเมอร์ในปี 1974 และตามมาด้วย ไวรัสจากสัตว์ซึ่งอยู่ในรูปแบบของเกมตอบคำถาม

การสร้างมัลแวร์ต้องผ่านช่วงการพัฒนาที่แห้งแล้งเป็นระยะๆ แต่ทุกอย่างเปลี่ยนไปในปี 1982 เมื่อ Elk Cloner ปรากฏตัว และไวรัสระลอกใหม่ก็เริ่มแพร่ระบาด

“ด้วยการประดิษฐ์พีซี ผู้คนเริ่มเขียนไวรัสบูตเซกเตอร์ที่แพร่กระจายบนแผ่นฟลอปปี” โซนสัญญาณเตือน Skyler King บอกกับ Digital Trends “คนที่ละเมิดลิขสิทธิ์เกมหรือแชร์มันบนแผ่นฟลอปปี [กำลังติดไวรัส]”

Elk Cloner เป็นคนแรกที่ใช้เวกเตอร์การโจมตีนั้น แม้ว่ามันจะไม่เป็นพิษเป็นภัยเลย และไม่คิดว่าจะแพร่กระจายไปไกล เสื้อคลุมของมันถูกหยิบขึ้นมาในอีกสี่ปีต่อมาโดยไวรัสสมอง ซอฟต์แวร์ชิ้นนั้นเป็นมาตรการต่อต้านการละเมิดลิขสิทธิ์ในทางเทคนิค สร้างขึ้นโดยพี่น้องชาวปากีสถานสองคนแม้ว่าจะมีเอฟเฟกต์ทำให้ดิสก์ที่ติดไวรัสบางตัวใช้งานไม่ได้เนื่องจากข้อผิดพลาดการหมดเวลา

“นั่นเป็นไวรัสประเภทแรกๆ อย่างที่เราพิจารณา” คิงกล่าว “และพวกมันก็เผยแพร่เพื่อว่าถ้าคุณใส่ฟล็อปปี้ดิสก์ พวกมันก็สามารถคัดลอกมันและแพร่กระจายแบบนั้นได้” การเปลี่ยนแปลงเวกเตอร์การโจมตี เป็นที่น่าสังเกต เนื่องจากการกำหนดเป้าหมายระบบจากมุมที่แตกต่างจะกลายเป็นจุดเด่นของมัลแวร์ตัวใหม่ในช่วงหลายปีที่ผ่านมา ตามมา

“สิ่งต่างๆ เปลี่ยนไปใช้ระบบปฏิบัติการ Unix เมื่อมีการใช้งานอินเทอร์เน็ตและมหาวิทยาลัยกระแสหลัก หนอนมอร์ริส ในเดือนพฤศจิกายน พ.ศ. 2531” คิงกล่าวต่อ “นั่นน่าสนใจ เพราะหนอนมอร์ริส [เขียนโดย] ลูกชายของหัวหน้า NSA […] เขาพบข้อบกพร่องในสองโปรโตคอลที่ใช้ใน Unix ข้อบกพร่องใน SMTP ซึ่งเป็นโปรโตคอลเมลที่อนุญาตให้คุณส่งอีเมล [ถูกใช้เพื่อ] เผยแพร่มัน และภายในหนึ่งวันก็ทำให้อินเทอร์เน็ตล่มเหมือนที่มีอยู่ในปี 1988”

กล่าวกันว่าหนอนมอร์ริสได้รับการออกแบบมาเพื่อทำแผนที่อินเทอร์เน็ต แต่กลับโจมตีคอมพิวเตอร์ที่มีการรับส่งข้อมูล และการติดไวรัสหลายครั้งอาจทำให้การรวบรวมข้อมูลช้าลง ในที่สุดก็ได้รับการยกย่องว่าสามารถล่มระบบได้ประมาณ 6,000 ระบบ Robert Morris ผู้สร้างหนอน กลายเป็นบุคคลแรกที่เคยพยายามภายใต้พระราชบัญญัติ Computer Fraud and Abuse Act ปี 1986 เขาถูกตัดสินจำคุก 3 ปี และปรับ 10,050 ดอลลาร์ ปัจจุบัน มอร์ริสเป็นนักวิจัยที่กระตือรือร้นเกี่ยวกับสถาปัตยกรรมเครือข่ายคอมพิวเตอร์ และดำรงตำแหน่งศาสตราจารย์ที่ MIT.

หนอนมอร์ริสกลายเป็นข้อพิสูจน์แนวคิดสำหรับมัลแวร์อื่นๆ ในช่วงเวลาเดียวกันนั้น ซึ่งทั้งหมดมุ่งเป้าไปที่เซกเตอร์สำหรับบูต มันเริ่มต้นคลื่นลูกใหม่ในการพัฒนาไวรัส แนวคิดดังกล่าวมีหลายรูปแบบที่รวบรวมไว้ภายใต้ป้ายกำกับ "Stoned" โดยมีรายการที่โดดเด่น เช่น Whale, Tequila และ ไมเคิลแองเจโลผู้โด่งดังซึ่งสร้างความตื่นตระหนกให้กับองค์กรที่มีระบบติดไวรัสเป็นประจำทุกปี

วันสุดท้ายของฤดูร้อน

ในช่วงทศวรรษแรกของการดำรงอยู่ แม้แต่ไวรัสที่อุดมสมบูรณ์และสร้างความเสียหายก็มีการออกแบบที่ไม่เป็นอันตราย “พวกเขาเป็นเพียงคนที่สนุกสนานที่พยายามสร้างชื่อเสียงบนท้องถนนในฉากใต้ดินเพื่อแสดงให้เห็นว่าพวกเขาสามารถทำอะไรได้บ้าง” คิงบอกกับ Digital Trends

อย่างไรก็ตาม วิธีการป้องกันยังตามหลังผู้เขียนไวรัสอยู่มาก แม้แต่มัลแวร์ทั่วไปอย่าง ILoveYou Worm ซึ่งปรากฏตัวในปี 2000 ก็สามารถสร้างความเสียหายให้กับระบบทั่วโลกอย่างที่ไม่เคยเกิดขึ้นมาก่อน

มัลแวร์ไบต์‘ รองประธานฝ่ายเทคโนโลยี เปโดร บุสตามันเต จำมันได้ดี “มันเป็นสคริปต์พื้นฐานแบบภาพที่เป็นเมลจำนวนมากที่จะแนบสคริปต์โดยอัตโนมัติ และ [บริษัทต่อต้านไวรัส] ยังไม่พร้อมที่จะทำการตรวจจับตามสคริปต์จำนวนมากในตอนนั้น” เขากล่าว

โปรแกรมเมอร์ชาวฟิลิปปินส์ Onel de Guzman มักได้รับการยกย่องว่าเป็นผู้สร้างหนอนตัวนี้ แม้ว่าเขาจะเป็นเช่นนั้นก็ตาม มักจะปฏิเสธการพัฒนาพาหะการโจมตีของมัน และแนะนำว่าเขาอาจจะปล่อยหนอนออกมาได้ อุบัติเหตุ. มีข่าวลือแนะนำบ้าง ผู้ร้ายที่แท้จริงเบื้องหลังการสร้างนี้คือเพื่อนของเขา Michael Buen ซึ่งหลอกให้ Guzman ปล่อยมันออกเพราะการแข่งขันด้านความรัก ILoveYou Worm สร้างความเสียหายทั่วโลกมูลค่ากว่า 15 พันล้านดอลลาร์

“เราถูกล็อคดาวน์ที่ห้องทดลองของ Panda ประมาณสามวันสำหรับเหตุการณ์นั้น” บุสตามันเตกล่าวต่อ “ผู้คนไม่ได้นอน นั่นคือจุดศูนย์กลางของขบวนการตัวเล็กที่เขียนสคริปต์ ซึ่งใครๆ ก็สามารถสร้างสคริปต์และจัดส่งจดหมายจำนวนมากได้ และจะมีการเผยแพร่ครั้งใหญ่ จำนวนผู้ติดเชื้อจำนวนมาก โดยทั่วไปแล้วจะเป็นไปได้เฉพาะเมื่อมีเวิร์มเครือข่ายขั้นสูงในสมัยนั้นเท่านั้น”

King ของ Zone Alarm ต้องเผชิญกับค่ำคืนนอนไม่หลับเช่นเดียวกันโดยมีมัลแวร์อื่น ๆ แพร่กระจายไปทั่ว อินเทอร์เน็ตที่กำลังเติบโตในช่วงเวลานั้น โดยอ้างถึงสิ่งที่ชอบของ Code Red และ SQL Slammer เป็นพิเศษ มีปัญหา

ในขณะที่เวิร์มและไวรัสทำให้ผู้เชี่ยวชาญด้านความปลอดภัยถอนขนออกไป และผู้บริหารของบริษัทก็กลัวคนนับล้าน หรือสร้างความเสียหายมูลค่าหลายพันล้านดอลลาร์ ไม่มีใครรู้ว่าสงครามมัลแวร์เพิ่งเริ่มต้นเท่านั้น พวกเขากำลังจะเลี้ยวที่มืดมนและอันตราย

ไม่ใช่เกมอีกต่อไป

เมื่อการใช้อินเทอร์เน็ตเพิ่มมากขึ้น เครือข่ายโฆษณาก็เริ่มสร้างรายได้ทางออนไลน์ และดอทคอมก็ได้รับเงินจากนักลงทุน อินเทอร์เน็ตเปลี่ยนจากชุมชนเล็กๆ ที่ไม่ค่อยมีใครรู้จัก กลายเป็นช่องทางการสื่อสารหลักที่แพร่หลาย และเป็นวิธีที่ถูกต้องในการสร้างรายได้หลายล้านดอลลาร์ แรงจูงใจของมัลแวร์ตามมา เปลี่ยนจากความอยากรู้อยากเห็นไปสู่ความโลภ

^{แผนที่แบบเรียลไทม์ของ Kaspersky Cyberthreat แสดงการโจมตีทางไซเบอร์ที่เกิดขึ้นทั่วโลกในขณะนี้}

“เมื่อผู้คนเริ่มใช้อินเทอร์เน็ตมากขึ้นและผู้คนดูโฆษณาออนไลน์และบริษัทต่างๆ ก็เริ่มเลิกกัน ที่นั่นสร้างรายได้จากการคลิกโฆษณา นั่นคือตอนที่คุณเริ่มเห็นการเพิ่มขึ้นของแอดแวร์และสปายแวร์” คิง อย่างต่อเนื่อง “คุณเริ่มเห็นไวรัสที่ทำงานบนคอมพิวเตอร์แต่ละเครื่องซึ่งส่งสแปมเพื่อลองซื้อผลิตภัณฑ์หรือแอดแวร์ ที่ใช้การคลิกฉ้อโกงซึ่งแสดงโฆษณาสำหรับสิ่งต่างๆ เพื่อจำลองการคลิกลิงก์ ดังนั้นโฆษณาจึงทำขึ้นมา เงิน."

ในไม่ช้ากลุ่มอาชญากรก็ตระหนักได้ว่าโปรแกรมเมอร์ที่ชาญฉลาดสามารถสร้างรายได้มหาศาลให้กับองค์กรใต้ดินที่จัดตั้งขึ้นแล้ว ด้วยเหตุนี้ ฉากมัลแวร์จึงมืดลงหลายเฉด ชุดมัลแวร์สำเร็จรูปที่สร้างโดยองค์กรอาชญากรรมเริ่มปรากฏทางออนไลน์ ในที่สุดโปรแกรมที่มีชื่อเสียงอย่าง MPack ก็ถูกใช้เพื่อแพร่เชื้อทุกอย่างตั้งแต่ระบบภายในบ้านไปจนถึงเมนเฟรมของธนาคาร ระดับความซับซ้อนและการเชื่อมโยงกับอาชญากรในโลกแห่งความเป็นจริงเพิ่มความเสี่ยงให้กับนักวิจัยด้านความปลอดภัย

“เราค้นพบ เอ็มแพ็ค ที่ Panda Security และเราได้ทำการสอบสวนและรายงานรายงานขนาดใหญ่ที่เป็นข่าวทั้งหมด” Bustamante ของ Malwarebytes อธิบาย “นั่นคือตอนที่เราเริ่มเห็นกลุ่มอาชญากรที่อยู่เบื้องหลังการโจมตีและมัลแวร์ที่ทันสมัยกว่านี้ มันน่ากลัว. นักวิจัยส่วนใหญ่ของ Panda กล่าวว่าพวกเขาไม่ต้องการให้ชื่อของพวกเขาอยู่ใกล้กับรายงาน”

แต่รายงานดังกล่าวได้รับการเผยแพร่ และเน้นย้ำถึงความลึกซึ้งของมัลแวร์และกลุ่มอาชญากรที่รวมตัวกันเป็นองค์กร

“มันเป็นแก๊งรัสเซียจำนวนมาก เรามีภาพการรวมตัวของพวกเขา มันเหมือนกับบริษัท” บุสตามันเตกล่าว “พวกเขามีคนที่ทำการตลาด ผู้บริหาร งานสังสรรค์ของบริษัท การแข่งขันสำหรับโปรแกรมเมอร์ที่เขียนมัลแวร์ที่ดีที่สุด ติดตามบริษัทในเครือ พวกเขามีทุกอย่าง มันเป็นที่น่าตื่นตาตื่นใจ. พวกเขาทำเงินได้มากกว่าเรา”

เงินจำนวนนั้นถูกแบ่งปันให้กับโปรแกรมเมอร์ที่มีความสามารถ เพื่อให้มั่นใจว่าองค์กรต่างๆ จะดึงดูดผู้ที่มีความสามารถที่ดีที่สุดเท่าที่จะเป็นไปได้ “เราเริ่มเห็นภาพผู้ชายหน้าตาคล้ายมาเฟียจากยุโรปตะวันออกแจกรถหรูๆ ให้กับโปรแกรมเมอร์ และกระเป๋าเดินทางที่เต็มไปด้วยเงิน” เขากล่าว

ช่องโหว่ที่ถูกเอารัดเอาเปรียบ

การแสวงหาผลกำไรนำไปสู่มัลแวร์ที่ซับซ้อนมากขึ้นและเวกเตอร์การโจมตีรูปแบบใหม่ ที่ มัลแวร์ซุสซึ่งปรากฏในปี 2549 ใช้วิศวกรรมสังคมขั้นพื้นฐานเพื่อหลอกให้ผู้คนคลิกลิงก์อีเมล ในที่สุดก็ปล่อยให้ผู้สร้างขโมยข้อมูลการเข้าสู่ระบบของเหยื่อ รายละเอียดทางการเงิน รหัส PIN และ มากกว่า. มันยังอำนวยความสะดวกในการโจมตีที่เรียกว่า "มนุษย์ในเบราว์เซอร์" โดยที่มัลแวร์สามารถขอข้อมูลความปลอดภัย ณ จุดที่เข้าสู่ระบบ รวบรวมข้อมูลจากเหยื่อได้มากขึ้น

ผู้ที่สร้างมัลแวร์ยังได้เรียนรู้ว่าพวกเขาไม่จำเป็นต้องใช้ซอฟต์แวร์ด้วยตนเอง และสามารถขายให้กับผู้อื่นได้ ชุด MPack Bustamante พบที่ Panda Security ในช่วงกลางทศวรรษ 2000 เป็นตัวอย่างที่สมบูรณ์แบบ มีการอัปเดตเดือนต่อเดือนตั้งแต่เริ่มสร้าง และจำหน่ายต่อเป็นประจำ แม้แต่ผู้ที่ถูกกล่าวหาว่าเป็นผู้เขียน Zeus ซึ่งเป็น Evgeniy Mikhailovich Bogachev โดยกำเนิดในรัสเซีย ก็เริ่มขายมัลแวร์ของเขา ก่อนที่จะส่งต่อการควบคุมแพลตฟอร์มมัลแวร์ Zeus ให้กับโปรแกรมเมอร์รายอื่น วันนี้เขายังคงมีขนาดใหญ่ FBI มีค่าหัวสำหรับข้อมูลที่นำไปสู่การจับกุม Bogachev เสนอมากถึง 3 ล้านเหรียญสหรัฐ ใครก็ตามที่สามารถช่วยจับเขาได้

การขายมัลแวร์แบบแพ็คเกจสำเร็จรูปในแบบที่ Bogachev ทำ ถือเป็นการเปลี่ยนแปลงครั้งใหม่ในการสร้างมัลแวร์ ตอนนี้มัลแวร์สามารถใช้สร้างรายได้ได้ และผู้เขียนไวรัสก็สามารถสร้างรายได้จากการขายมัลแวร์เป็นเครื่องมือได้ มัลแวร์จึงมีความเป็นมืออาชีพมากขึ้น มัลแวร์ถูกสร้างขึ้นในผลิตภัณฑ์ โดยทั่วไปเรียกว่าชุดการหาประโยชน์

“มันถูกขายเป็นธุรกิจจริงๆ” King ของ Zone Alarm บอกกับ Digital Trends “พวกเขา [เสนอ] การสนับสนุน การอัปเดตซอฟต์แวร์สำหรับช่องโหว่ล่าสุด มันน่าทึ่งมาก”

ภายในปี 2550 มีการสร้างมัลแวร์มากขึ้นทุกปีมากกว่าที่เคยเกิดขึ้นในประวัติศาสตร์ของมัลแวร์ และการโจมตีจำนวนมากในคอมพิวเตอร์จำนวนเพิ่มมากขึ้นเรื่อยๆ ได้ขับเคลื่อนธุรกิจ สิ่งนี้กระตุ้นให้เกิดการเพิ่มขึ้นของ บอทเน็ตขนาดใหญ่ ซึ่งเสนอให้เช่าแก่ผู้ที่ต้องการดำเนินการปฏิเสธการโจมตีบริการ แต่ผู้ใช้ปลายทางอาจถูกหลอกให้คลิกลิงก์เป็นเวลานานเท่านั้น เมื่อพวกเขาได้รับการศึกษามากขึ้น ชุดการหาประโยชน์และผู้เขียนก็จำเป็นต้องพัฒนาอีกครั้ง

“[ผู้เขียนมัลแวร์] ต้องคิดหาวิธีในการติดตั้งภัยคุกคามโดยอัตโนมัติ” Marcin Kleczynski ซีอีโอของ MalwareBytes กล่าวกับ Digital Trends “นั่นคือจุดที่เทคนิคการหาประโยชน์ วิศวกรรมสังคม และมาโครใน Powerpoint และ Excel เริ่มได้รับ [ซับซ้อน] มากขึ้น”

โชคดีสำหรับผู้เขียนมัลแวร์ เว็บไซต์และซอฟต์แวร์ออฟไลน์เริ่มนำหลักการ Web 2.0 มาใช้ การโต้ตอบกับผู้ใช้และการสร้างเนื้อหาที่ซับซ้อนเริ่มแพร่หลายมากขึ้น เพื่อปรับตัวผู้เขียนมัลแวร์จึงเริ่มกำหนดเป้าหมาย อินเทอร์เน็ตเอ็กซ์พลอเรอร์, แอปพลิเคชัน Office และ Adobe Reader และอื่นๆ อีกมากมาย

“ยิ่งมีซอฟต์แวร์ที่ซับซ้อนมากขึ้นเท่าไรก็ยิ่งสามารถทำงานได้มากขึ้นเท่านั้น วิศวกรก็ยิ่งทำงานมากขึ้น […] ซอฟต์แวร์นี้มีแนวโน้มที่จะเกิดข้อผิดพลาดมากขึ้น และคุณจะพบช่องโหว่มากขึ้นเมื่อเวลาผ่านไป” Kleczynski กล่าว “เมื่อซอฟต์แวร์มีความซับซ้อนมากขึ้นและ Web 2.0 ก็เกิดขึ้น และ Windows ก็มีการพัฒนาอย่างต่อเนื่อง มันก็ซับซ้อนมากขึ้นและเสี่ยงต่อโลกภายนอกมากขึ้น”

ภายในปี 2010 ดูเหมือนว่ามัลแวร์ที่ไม่แสวงหาผลกำไรได้สูญพันธุ์ไปหมดแล้ว โดยที่การแสวงหาผลกำไรเป็นแรงจูงใจที่เกือบจะผูกขาดในการประดิษฐ์มันขึ้นมา มันกลับกลายเป็นว่าผิด โลกได้เรียนรู้อย่างกะทันหันว่ากลุ่มอาชญากรนั้นเทียบไม่ได้กับมัลแวร์ที่อันตรายที่สุด ซึ่งสร้างขึ้นอย่างลับๆ โดยประเทศต่างๆ

สงครามดิจิทัล

ตัวอย่างแรกของประเทศที่ใช้กำลังทหารทางออนไลน์คือ ออโรร่าโจมตี Google. บริษัทค้นหายักษ์ใหญ่ซึ่งยืนหยัดมายาวนานในฐานะหนึ่งในหน่วยงานดิจิทัลที่โดดเด่นที่สุดในโลก พบว่าตัวเองถูกโจมตีอย่างต่อเนื่องเมื่อปลายปี 2552 โดยแฮกเกอร์ที่มีความเกี่ยวข้องกับกองทัพปลดปล่อยจีน เมื่อคนทั้งโลกได้เรียนรู้เกี่ยวกับสิ่งนี้ในเดือนมกราคม 2010 สิ่งนี้ถือเป็นจุดเปลี่ยนในสิ่งที่ผู้เชี่ยวชาญตระหนักรู้ถึงมัลแวร์และผู้สร้างมัลแวร์ว่าสามารถทำได้

การโจมตีมีเป้าหมายหลายสิบคน บริษัทเทคโนโลยีระดับสูงอย่าง Adobe, Rackspace และ Symantec และคิดว่าเป็นความพยายามที่จะแก้ไขซอร์สโค้ดของชุดซอฟต์แวร์ต่างๆ รายงานต่อมาแนะนำว่ามันเป็น ปฏิบัติการต่อต้านข่าวกรองของจีน เพื่อค้นหาเป้าหมายดักฟังของสหรัฐฯ แม้ว่าการโจมตีนั้นจะทะเยอทะยานและน่าประทับใจ แต่ก็สามารถเอาชนะได้ภายในไม่กี่เดือนต่อมา

“แมวออกมาจากถุงจริงๆ ด้วย Stuxnetบุสตามันเตบอกกับ Digital Trends “ก่อนหน้านั้น […] คุณจะเห็นมันได้ในการโจมตีบางอย่าง และในสิ่งต่างๆ เช่น ปากีสถาน อินเดีย อินเทอร์เน็ต ถูกตัดลงใต้ทะเล [แต่] Stuxnet เป็นที่ที่อึโจมตีแฟน ๆ และทุกคนก็เริ่มบ้าคลั่ง ออก."

Stuxnet ถูกสร้างขึ้นเพื่อทำลายโครงการนิวเคลียร์ของอิหร่าน และมันก็ได้ผล แม้กระทั่งตอนนี้ แปดปีหลังจากการปรากฏตัว ผู้เชี่ยวชาญด้านความปลอดภัยก็ยังพูดถึง Stuxnet ด้วยน้ำเสียงที่ตกตะลึง “การเชื่อมโยงช่องโหว่แบบ Zero-day หลายรายการเข้าด้วยกัน การกำหนดเป้าหมายขั้นสูงของโรงงานนิวเคลียร์ที่เฉพาะเจาะจง มันน่าทึ่งมาก” บุสตามันเต้กล่าว “มันเป็นสิ่งที่คุณจะได้เห็นในนิยายเท่านั้น”

Kleczynski ก็ประทับใจไม่แพ้กัน “[…] หากคุณพิจารณาถึงช่องโหว่ที่ใช้เพื่อความสามารถด้านความปลอดภัยทางไซเบอร์ที่น่ารังเกียจ มันก็ค่อนข้างดีทีเดียว [วิธีที่มันดำเนินไปหลังจาก] คอมพิวเตอร์ลอจิกที่ตั้งโปรแกรมได้ของ Siemens? มันถูกออกแบบอย่างสวยงามเพื่อทำลายเครื่องหมุนเหวี่ยง”

แม้ว่าจะไม่มีใครอ้างความรับผิดชอบต่อ Stuxnet ในช่วงหลายปีต่อจากนั้น แต่นักวิจัยด้านความปลอดภัยส่วนใหญ่คิดว่าเป็นงานของคณะทำงานเฉพาะกิจที่รวมกันระหว่างสหรัฐฯ และอิสราเอล นั่นดูเหมือนจะเป็นไปได้มากขึ้นเมื่อมีการเปิดเผยอื่น ๆ เช่น การแฮ็กเฟิร์มแวร์ฮาร์ดไดรฟ์ NSAแสดงให้เห็นศักยภาพที่แท้จริงของแฮกเกอร์รัฐชาติ

ในไม่ช้ารูปแบบการโจมตีของ Stuxnet ก็จะกลายเป็นเรื่องธรรมดา เครื่องมือหาประโยชน์ยังคงเป็นช่องทางการโจมตีที่สำคัญในปีต่อๆ มา แต่ดังที่บุสตามันเตบอกเราในของเรา บทสัมภาษณ์ ช่องโหว่แบบ Zero-day ที่ถูกล่ามโซ่ไว้ด้วยกัน เป็นสิ่งที่ Malwarebytes และบริษัทรุ่นเดียวกันมองเห็น ทุกวัน.

นั่นไม่ใช่ทั้งหมดที่พวกเขาเห็น มีปรากฏการณ์ใหม่ที่มีต้นกำเนิดซึ่งสามารถย้อนกลับไปได้เกือบถึงจุดเริ่มต้นของเรื่องราวของเรา มันก่อให้เกิดปัญหาไม่สิ้นสุดในช่วงนี้ และอาจทำเช่นนั้นได้ในอนาคต

เงินหรือไฟล์ของคุณ

การโจมตีด้วยแรนซัมแวร์ครั้งแรกในทางเทคนิคเกิดขึ้นย้อนกลับไปเมื่อปี 1989 โทรจันโรคเอดส์. ส่งไปยังนักวิจัยโรคเอดส์โดยใช้ฟล็อปปี้ดิสก์ที่ติดไวรัส มัลแวร์จะรอให้ระบบบูต 90 ครั้งก่อนเข้ารหัสไฟล์และเรียกชำระเงินสดจำนวน 189 ดอลลาร์ โดยส่งไปยังที่อยู่ตู้ ปณ. ใน ปานามา.

แม้ว่ามัลแวร์ชิ้นนั้นจะถูกเรียกว่าโทรจันในขณะนั้น แต่แนวคิดในการบังคับให้สร้างไฟล์ที่ซับซ้อนคือการปฏิเสธผู้ใช้ การเข้าถึงระบบของตนเอง และเรียกร้องให้มีรูปแบบการชำระเงินเพื่อให้ระบบกลับมาเป็นปกติ กลายเป็นองค์ประกอบสำคัญของ แรนซัมแวร์ มันเริ่มปรากฏขึ้นอีกครั้งในช่วงกลางทศวรรษ 00 แต่มันก็เป็นเช่นนั้น การเติบโตของ Bitcoin สกุลเงินดิจิทัลที่ไม่เปิดเผยตัวตน ที่ทำให้แรนซัมแวร์แพร่หลาย

“หากคุณทำให้ใครบางคนติดแรนซัมแวร์และขอให้พวกเขาฝากเงินเข้าบัญชีธนาคาร บัญชีนั้นจะถูกปิดอย่างรวดเร็ว” King จาก Zone Alarm อธิบาย “แต่ถ้าคุณขอให้ใครสักคนฝาก Bitcoin ไว้ในกระเป๋าสตางค์ ผู้บริโภคจะต้องจ่ายเงิน ไม่มีทางหยุดมันได้จริงๆ”

เมื่อพิจารณาว่าการควบคุม bitcoin ในชีวิตประจำวันด้วยการใช้งานที่ถูกต้องนั้นยากเพียงใด มันสมเหตุสมผลแล้วที่การหยุดมิให้อาชญากรใช้ประโยชน์นั้นยิ่งกว่านั้นอีก โดยเฉพาะอย่างยิ่งเมื่อผู้คนจ่ายค่าไถ่ เช่นเดียวกับชุดช่องโหว่และโครงสร้างองค์กรที่สนับสนุนพวกเขา นักพัฒนาแรนซัมแวร์ทำให้เหยื่อสามารถซื้อสกุลเงินดิจิตอลและส่งไปให้พวกมันได้ง่ายที่สุดเท่าที่จะเป็นไปได้

แต่ในช่วงครึ่งหลังของวัยรุ่นปีที่ 21^{เซนต์} ศตวรรษ เราเริ่มเห็นวิวัฒนาการเพิ่มเติมของกลยุทธ์เหล่านี้ เนื่องจากผู้เขียนซอฟต์แวร์ที่เป็นอันตรายได้ติดตามเงินอีกครั้ง

“สิ่งที่ทำให้ฉันประหลาดใจกับแรนซัมแวร์ก็คือความรวดเร็วจากคุณและฉันไปยังบริษัทของเรา” Kleczynski กล่าว “หนึ่งหรือสองปีที่แล้ว เป็นพวกเราเองที่ติดไวรัส ไม่ใช่ Malwarebytes ไม่ใช่ SAP, Oracle และอื่นๆ พวกเขาเห็นเงินได้อย่างชัดเจนและบริษัทต่างๆ ก็เต็มใจที่จะจ่ายมัน”

อะไรต่อไป?

สำหรับผู้เชี่ยวชาญส่วนใหญ่ที่เราพูดคุยด้วย แรนซัมแวร์ยังคงเป็นภัยคุกคามใหญ่ พวกเขากังวลด้วย King ของ Zone Alarm กระตือรือร้นที่จะพูดคุยเกี่ยวกับการป้องกันแอนตี้แรนซัมแวร์รูปแบบใหม่ของบริษัท และวิธีที่ธุรกิจต่างๆ จำเป็นต้องตระหนักรู้ว่ากลยุทธ์ดังกล่าวมีอันตรายเพียงใด

Kleczynski มองว่านี่เป็นโมเดลที่สร้างผลกำไรมหาศาลสำหรับผู้เขียนมัลแวร์ โดยเฉพาะอย่างยิ่งเมื่อคุณนำอุปกรณ์ Internet of Things ที่ติดไวรัสเข้ามาเพิ่มขึ้น ซึ่งประกอบขึ้นเป็น บอทเน็ตที่ใหญ่ที่สุดในโลกเท่าที่เคยมีมา.

^{ไทม์แลปส์ของการโจมตี DDoS ที่เกิดขึ้นในปี 2558 ในวันคริสต์มาส}

โดยใช้เว็บไซต์ของ British Airways เป็นตัวอย่าง เขาถามคำถามเชิงวาทศิลป์ว่าคุ้มค่าแค่ไหนสำหรับบริษัทนั้นที่จะรักษาระบบจองตั๋วออนไลน์ไว้หากถูกคุกคาม บริษัทดังกล่าวจะยินดีจ่ายเงิน 50,000 ดอลลาร์ให้กับผู้ขู่กรรโชกหรือไม่ หากเว็บไซต์ของตนล่มภายในเวลาไม่กี่ชั่วโมง? มันจะจ่ายเงิน 10,000 ดอลลาร์หากเพียงขู่ว่าจะกระทำการดังกล่าวหรือไม่?

ด้วยศักยภาพที่จะสูญเสียยอดขายหลายล้านหรือแม้กระทั่งมูลค่าตลาดนับพันล้านหากราคาหุ้นตอบสนองต่อการโจมตีดังกล่าว จึงไม่ยากที่จะจินตนาการถึงโลกที่เหตุการณ์เช่นนี้เกิดขึ้นเป็นประจำ สำหรับ Kleczynski นี่เป็นเพียงโลกเก่าที่ตามทันโลกใหม่ในที่สุด เป็นกลยุทธ์การก่ออาชญากรรมในอดีตที่นำมาประยุกต์ใช้กับโลกสมัยใหม่

“สิ่งนี้เคยเป็นเพียงการฉ้อโกง 'คุณอยากจะซื้อประกันอัคคีภัยบ้างไหม? คงจะน่าเสียดายถ้ามีอะไรเกิดขึ้นกับอาคารของคุณ" เขากล่าว “วันนี้ ‘คุณอยากจะซื้อประกันแรนซัมแวร์บ้างไหม? คงจะน่าเสียดายหากเว็บไซต์ของคุณล่มเป็นเวลา 24 ชั่วโมง'”

ความเกี่ยวข้องทางอาญาดังกล่าวยังคงสร้างความหวาดกลัวให้กับ Bustamante ของ MalwareBytes ซึ่งบอกเราว่าบริษัทมักพบเห็นภัยคุกคามต่อนักพัฒนาที่ซ่อนอยู่ในโค้ดมัลแวร์อยู่เป็นประจำ

เนื่องจากเขาและบริษัทกังวลเรื่องความปลอดภัยส่วนบุคคลของตนเอง เขาจึงมองว่าคลื่นลูกถัดไปเป็นอะไรที่มากกว่าแค่แรนซัมแวร์ เขามองว่ามันเป็นการโจมตีความสามารถของเราในการรับรู้โลกรอบตัวเรา

“ถ้าคุณถามผมว่าคลื่นลูกต่อไปคืออะไร มันเป็นข่าวปลอม” เขากล่าว “การโฆษณามัลแวร์ได้ดำเนินต่อไป […] ตอนนี้กลายเป็นคลิกเบตและข่าวปลอมแล้ว การเผยแพร่ข่าวประเภทนี้คือชื่อของเกม และมันจะเป็นคลื่นลูกใหญ่ต่อไป” พิจารณาอย่างไร รัฐชาติที่เกี่ยวข้องดูเหมือนจะเป็นเช่นนั้น ในการฝึกฝนตัวเองในช่วงไม่กี่ปีที่ผ่านมา มันยากที่จะจินตนาการว่าเขาผิด

การคุกคามเช่นเดียวกับการโจมตีของมัลแวร์จากกลุ่มอาชญากร กลุ่มศาลเตี้ยที่ได้รับการสนับสนุนจากรัฐบาล และแฮ็กเกอร์ที่ติดอาวุธ ถือเป็นภัยคุกคามที่สำคัญที่สุด ความมั่นใจที่คุณสามารถใช้ในช่วงเวลาแห่งความไม่แน่นอนก็คือจุดอ่อนที่สุดในห่วงโซ่การรักษาความปลอดภัยมักจะเป็นจุดสิ้นสุดเสมอ ผู้ใช้ นั่นคือคุณ..

มันน่ากลัวแต่ก็มีพลังเช่นกัน หมายความว่าแม้ว่าผู้คนจะเขียนมัลแวร์ แต่เวกเตอร์การโจมตีและเหตุผลในการสร้างสรรค์ ไวรัสและโทรจันในตอนแรกอาจมีการเปลี่ยนแปลง วิธีที่ดีที่สุดในการออนไลน์อย่างปลอดภัยคือวิธีเก่า วิธี เก็บรหัสผ่านที่รัดกุม แพทช์ซอฟต์แวร์ของคุณ และระวังลิงค์ที่คุณคลิก

ดังที่ Malwarebytes Klecyzinski บอกเราหลังการสัมภาษณ์ว่า “ถ้าคุณไม่หวาดระแวง คุณจะไม่รอด”

คำแนะนำของบรรณาธิการ

• Microsoft เพิ่งมอบวิธีใหม่ในการรักษาความปลอดภัยจากไวรัสให้กับคุณ
• แฮกเกอร์ใช้ใบรับรอง Nvidia ที่ถูกขโมยเพื่อซ่อนมัลแวร์