Історія зловмисного програмного забезпечення, від жартів до ядерної диверсії

З самого початку сучасної комп’ютерної техніки програмне забезпечення було таким же здібним, як і програмісти, які його створили. Їхні наміри стали його можливостями, і це принесло нам світ дивовижних і потужних програм на різноманітних платформах і середовищах. Попутно це також призвело до створення неймовірно шкідливого, а в деяких випадках і відверто небезпечного програмного забезпечення. Звичайно, мова йде про шкідливі програми.

Усі ми колись стикалися зі зловмисним програмним забезпеченням. Можливо, ви отримували спам під час розквіту рекламного програмного забезпечення та спливаючих вікон, зіткнувшись із неприємним трояном які намагалися викрасти вашу особу або навіть мали справу з системним паралізуючим випадком шантажу програми-вимагачі. Сьогодні мільйони і мільйони унікальних програм розроблено для вашої системи, файлів і гаманця. Хоча всі вони мають різні сліди та траєкторії, усі вони мають своє коріння у скромному початку.

Щоб зрозуміти зловмисне програмне забезпечення, ви повинні повернутися до первинного цифрового бульйону, який одного дня перетвориться на мільйони мерзенних програм, з якими ми стикаємося сьогодні. Це історія зловмисного програмного забезпечення та технік, які десятиліттями використовувалися для боротьби з ним.

Невинне народження

Сучасний світ стикається з хакерством злочинців і національних держав, які можуть загрожувати способу життя кожного. Проте на початку зловмисного програмного забезпечення не було зловмисного наміру. Тоді наміром було побачити, що справді можливо з обчислювальною технікою, а не завдавати шкоди, красти чи маніпулювати.

Ідею створення вірусу або самовідтворюваного рядка коду вперше придумав обчислювальний провидець Джон фон Нейман. У 1949 році він постулював потенціал для «автоматів, що самовідтворюються», які зможуть передавати своє програмування новій версії самого себе.

«Я Крипер:
Спіймай мене, якщо зможеш.'

Першим відомим зареєстрованим екземпляром комп’ютерного вірусу був Creeper Worm, розроблений Робертом Х. Томас у 1971 році. Перша ітерація Creeper не могла клонувати себе, але вона могла переходити від однієї системи до іншої. Тоді він відобразить повідомлення: «Я Кріпер: спіймай мене, якщо зможеш».

Хоча здається ймовірним, що перший код, що самовідтворюється, і його творець втрачені, першим зафіксованим екземпляром такого програмного забезпечення є Creeper Worm, розроблений Робертом Х. Томас у 1971 році в BBN Technologies. Creeper працював на операційній системі TENEX і був вражаюче складним для свого часу. На відміну від багатьох своїх наступників, які вимагали фізичних носіїв для розподілу корисного навантаження, Creeper міг переміщатися між DEC PDP-10 мейнфрейми над ранньою ітерацією ARPANET, прабатькової мережі Інтернету, яку світ прийме на озброєння пізніше років. Перша ітерація Creeper не могла клонувати себе, але вона могла переходити від однієї системи до іншої. Тоді він відобразить повідомлення: «Я Кріпер: спіймай мене, якщо зможеш».

Пізніше колега Томаса з BBN Technologies створив нову версію Creeper. Рей Томлінсон – більш відомий як винахідник електронної пошти. Він справді дублювався, що призвело до раннього розуміння проблеми, яку можуть спричинити такі віруси або хробаки. Як ви їх контролюєте, коли відправляєте? Зрештою, Томлінсон створив іншу програму під назвою Reaper, яка переміщувалася по мережі та видаляла всі знайдені копії Creeper. Томлінсон цього не знав, але він створив найперший твір антивірусне програмне забезпечення, розпочавши гонку озброєнь між хакерами та спеціалістами з безпеки що триває донині.

Creeper, хоч і глузливий у своєму повідомленні, не створювався, щоб створювати проблеми для системи. Власне, як і сам Томлінсон пояснив історику комп’ютерної техніки Георгію Далакобу, «Програма Creeper не використовувала недоліки операційної системи. Дослідження було спрямоване на розробку механізмів для перенесення програм на інші машини з наміром перемістити програму на найбільш ефективний комп’ютер для виконання поставлених завдань».

Піки та спади

У наступні роки після розповсюдження та подальшого видалення вірусу Creeper із тих старовинних мейнфреймів з’явилося кілька інших шкідливих програм, які повторили цю ідею. Вірус кролика, що саморозмножується, був створений невідомим – але мовляв, дуже сильно звільнили – програміст у 1974 році, і невдовзі після цього з’явився Вірус тварин, яка проходила у формі гри-вікторини.

Створення зловмисного програмного забезпечення потім пережило одну зі своїх періодичних засух у розвитку. Але все змінилося в 1982 році, коли з’явився Elk Cloner і почалася нова хвиля вірусів.

«З винаходом ПК люди почали писати віруси завантажувального сектора, які розповсюджувалися на дискетах», Зона сигналізації Скайлер Кінг сказала Digital Trends. «Люди, які створювали піратські ігри або ділилися ними на дискетах [були заражені]».

Elk Cloner був першим, хто використав цей вектор атаки, хоча він був абсолютно безпечним і не вважався таким, що поширився далеко. Його мантію підхопив через чотири роки вірус Brain. Ця частина програмного забезпечення була технічно антипіратським заходом створений двома братами-пакистанцями, хоча це призвело до того, що деякі заражені диски стали непридатними для використання через помилки тайм-ауту.

«Це були начебто перші віруси, як ми їх вважаємо», — сказав Кінг. «І вони розповсюджували так, що якщо ви покладете дискету, вони зможуть копіювати на неї та поширювати таким чином». Зміна вектора атаки заслуговує на увагу, тому що націлювання на систему під іншим кутом стане візитною карткою нових шкідливих програм у роки, слідував.

«З поширеним використанням Інтернету та університетів все перейшло на бік Unix. хробак Морріс у листопаді 1988 року, — продовжив Кінг. «Це було цікаво, тому що хробак Морріс був [написаний] сином голови АНБ […] Він знайшов недолік у двох протоколах, які використовувалися в Unix. Порушення в SMTP, поштовому протоколі, який дозволяв вам надсилати електронну пошту, [було використано для] його розповсюдження, і за один день він зруйнував Інтернет, який існував у 1988 році».

Кажуть, що хробак Morris спочатку був розроблений для картографування Інтернету, але він бомбардував комп’ютери трафіком, і численні зараження могли сповільнити їх повзання. Зрештою, йому приписують виведення з ладу близько 6000 систем. Роберт Морріс, творець хробака, став першою людиною, яку коли-небудь судили за Законом про комп’ютерне шахрайство та зловживання 1986 року. Його засудили до трьох років умовно і оштрафували на 10 050 доларів. Сьогодні Морріс є активним дослідником архітектур комп’ютерних мереж і штатний професор Массачусетського технологічного інституту.

Черв'як Морріса став доказом концепції для низки інших шкідливих програм того самого періоду, усі з яких націлені на завантажувальні сектори. Це поклало початок наступній хвилі розвитку вірусів. Багато варіантів цієї ідеї було зібрано під лейблом «Stoned» із такими помітними записами, як Whale, Tequila та сумно відомий Мікеланджело, що щорічно створювало паніку в організаціях із зараженими системами.

Останні дні літа

Протягом перших десятиліть свого існування навіть плідні та шкідливі віруси були відносно доброякісними. «Вони були просто людьми, які розважалися, намагаючись отримати вуличну довіру в андерграунді, щоб показати, на що вони здатні», — сказав Кінг Digital Trends.

Проте методи захисту все ще були далеко позаду авторів вірусів. Навіть таке просте шкідливе програмне забезпечення, як черв’як ILoveYou, який з’явився у 2000 році, може завдати безпрецедентної шкоди системам у всьому світі.

Malwarebytes«Віце-президент з технологій Педро Бустаманте добре це пам’ятає. «Це був візуальний базовий сценарій, який був масовою поштовою програмою, яка автоматично прикріпляла сценарій, і [антивірусні фірми] тоді не були готові виконувати багато виявлення на основі сценаріїв», — сказав він.

Створення хробака найчастіше приписують філіппінському програмісту Онелю де Гусману, хоча він і є завжди заперечував розвиток свого вектора атаки, і припускає, що він міг випустити хробака через нещасний випадок. Деякі чутки припускають справжнім винуватцем його створення був його друг, Майкл Буен, який обманом змусив Гусмана випустити його через любовне суперництво. Хробак ILoveYou завдав збитків у всьому світі на суму понад 15 мільярдів доларів.

«Для цього ми були закриті в лабораторіях Panda приблизно три дні», — продовжив Бустаманте. «Люди не спали. Це був епіцентр руху script kiddie, де будь-хто міг створити сценарій і зробити масову розсилку, і це мало б величезне поширення. Масова кількість інфекцій. Зазвичай це було можливо лише за допомогою передового мережевого хробака».

Король Zone Alarm зіткнувся з такими ж безсонними ночами, коли поширювалося інше зловмисне програмне забезпечення зростаючий Інтернет за цей час, посилаючись на такі, як Code Red і SQL Slammer, зокрема проблематично.

Тоді як хробаки та віруси змусили експертів з безпеки рвати собі волосся, а керівники компаній боялися мільйонів або мільярди доларів, які вони завдали, ніхто не знав, що війни зі зловмисним програмним забезпеченням тільки починаються. Вони збиралися зробити темний і небезпечний поворот.

Більше не гра

Із зростанням використання Інтернету рекламні мережі почали заробляти гроші в Інтернеті, а дот-коми збирали гроші інвесторів. Інтернет перетворився з невеликої спільноти, відомої небагатьом, на поширений, основний шлях спілкування та законний спосіб заробляти мільйони доларів. Далі з’явився мотив створення шкідливого програмного забезпечення, змінившись від цікавості до жадібності.

^{Карта Kaspersky Cyberthreat у режимі реального часу показує кібератаки, які відбуваються зараз у всьому світі.}

«Коли більше людей почали користуватися Інтернетом, і люди дивилися на рекламу в Інтернеті, а компанії пішли заробляючи гроші на кліках реклами, саме тоді ви почали спостерігати зростання рекламного та шпигунського ПЗ», – сказав Кінг. продовження. «Ви почали бачити віруси, які запускалися на окремих комп’ютерах і розсилали спам, щоб спробувати купити продукти, або рекламне програмне забезпечення. які використовували клікове шахрайство, яке показувало оголошення для речей, щоб імітувати, що ви натискаєте посилання, щоб вони зробили гроші».

Організована злочинність невдовзі зрозуміла, що спритні програмісти можуть заробити великі гроші на підпільних підприємствах. Після цього сцена зі зловмисним програмним забезпеченням стала на кілька відтінків темнішою. У мережі почали з’являтися готові набори шкідливих програм, створені злочинними організаціями. Відомі, як-от MPack, зрештою використовувалися для зараження всього, від окремих домашніх систем до банківських мейнфреймів. Їхній рівень витонченості та зв’язок із реальними злочинцями підвищують ставки для дослідників безпеки.

«Ми виявили MPack у Panda Security, і ми провели розслідування та опублікували велику газету, яка була в усіх новинах», — пояснив Бустаманте з Malwarebytes. «Тоді ми почали бачити деякі банди, які стояли за деякими з цих більш сучасних атак і шкідливих програм. Було страшно. Більшість дослідників Panda сказали, що вони не хочуть, щоб їхнє ім’я було близько до звіту».

Але звіт був оприлюднений, і він підкреслив, наскільки глибокими стали шкідливі програми та організовані злочинні угруповання.

«Було багато російських банд. У нас були фотографії їхніх зібрань. Це було як компанія", - сказав Бустаманте. «У них були люди, які займалися маркетингом, керівники, зустрічі компаній, змагання програмістів, які створили найкраще зловмисне програмне забезпечення, відстеження афілійованих осіб, у них було все. Це було чудово. Вони заробляли більше грошей, ніж ми».

Цими грошима ділилися з талановитими програмістами, щоб організації залучали найкращих талантів. «Ми почали бачити фотографії мафіозних хлопців зі Східної Європи, які роздають розкішні машини програмістам і повні валізи грошей», — сказав він.

Використовуються вразливості

Гонитва за прибутком призводить до більш складних шкідливих програм і нових векторів атак. The Зловмисне програмне забезпечення Zeus, який з’явився в 2006 році, використовував базову соціальну інженерію, щоб обманом змусити людей натиснути посилання в електронній пошті, зрештою дозволяючи автору викрасти реєстраційну інформацію жертв, фінансові дані, PIN-коди та більше. Це навіть сприяло так званим атакам «людина в браузері», коли зловмисне програмне забезпечення може запитувати інформацію про безпеку під час входу, збираючи ще більше інформації від жертв.

Ті, хто створюють зловмисне програмне забезпечення, також дізналися, що їм не потрібно самостійно використовувати програмне забезпечення, а можуть просто продавати його іншим. Набір MPack, який Бустаманте знайшов у Panda Security у середині 2000-х, був чудовим прикладом. Його оновлювали щомісяця з моменту його створення та регулярно перепродували. Навіть передбачуваний автор Zeus, росіянин Євгеній Михайлович Богачов, почав продавати своє шкідливе програмне забезпечення, перш ніж передати контроль над платформою шкідливого програмного забезпечення Zeus іншому програмісту. Він і сьогодні на волі. ФБР має нагороду за інформацію, яка призвела до арешту Богачова, пропонуючи аж 3 мільйони доларів усім, хто може допомогти його зловити.

Продаж готових шкідливих програм, як це робив Богачов, ознаменував ще один зрушення у створенні шкідливих програм. Тепер, коли зловмисне програмне забезпечення можна було використовувати для заробітку, а автори вірусів могли заробляти гроші, продаючи його як інструмент, воно стало більш професійним. Зловмисне програмне забезпечення було створено в продукт, який зазвичай називають набором експлойтів.

«Це дійсно було продано як бізнес», — сказав King із Zone Alarm Digital Trends. «Вони [запропонували] підтримку, оновлення програмного забезпечення до останніх експлойтів, це було неймовірно».

До 2007 року щороку створювалося більше зловмисного програмного забезпечення, ніж існувало за всю історію зловмисного програмного забезпечення, а масові атаки на постійно зростаючу кількість комп’ютерів сприяли розвитку бізнесу. Це підштовхнуло підйом масштабні ботнети які пропонувалися в оренду бажаючим проводити атаки на відмову в обслуговуванні. Але кінцевих користувачів можна було лише обманом змусити натискати посилання так довго. У міру того, як вони стали більш освіченими, набори експлойтів та їхні автори повинні були знову розвиватися.

«[Розробникам зловмисного програмного забезпечення] довелося придумати спосіб автоматичного встановлення загрози», — сказав Digital Trends генеральний директор MalwareBytes Марчін Клечінскі. «Тут методи експлойтів, соціальна інженерія та макроси в Powerpoint і Excel почали [удосконалюватися]».

На щастя для авторів зловмисного програмного забезпечення, веб-сайти та офлайн-програмне забезпечення почали приймати принципи Web 2.0. Взаємодія з користувачем і створення складного контенту ставали набагато більш поширеними. Щоб адаптувати шкідливі програми, автори почали орієнтуватися Internet Explorer, програми Office і Adobe Reader, серед багатьох інших.

«Чим складнішим стає програмне забезпечення, тим більше воно може робити, чим більше інженерів працює над ним […], тим більше це програмне забезпечення схильне до помилок і тим більше вразливостей ви знайдете з часом», — сказав Клечинський. «У міру того, як програмне забезпечення стає все складнішим і з’являється Web 2.0, а Windows продовжує розвиватися, воно стає складнішим і вразливішим для зовнішнього світу».

До 2010 року здавалося, що некомерційне зловмисне програмне забезпечення майже вимерло, а комерційна мета була майже виключною мотивацією для його створення. Це, як виявилося, було неправильно. Світ раптово дізнався, що організована злочинність — ніщо в порівнянні з найнебезпечнішим шкідливим програмним забезпеченням, таємно створеним державами.

Цифрова війна

Першим прикладом нації, яка демонструє свою військову міць онлайн, був Атака Аврори на Google. Наприкінці 2009 року пошуковий гігант, який давно є однією з найвидатніших цифрових компаній світу, опинився під постійними атаками хакерів, пов’язаних із Визвольною армією Китаю. Коли решта світу дізнався про це в січні 2010 року, це ознаменувало переломний момент у тому, на що експерти усвідомили здатність шкідливого програмного забезпечення та його авторів.

Ціллю нападу були десятки технологічні фірми високого рівня, такі як Adobe, Rackspace і Symantec, і вважалося спробою змінити вихідний код різних пакетів програмного забезпечення. Пізніші звіти припустили, що це був a Операція китайської контррозвідки виявити об’єкти прослуховування в США. Якою б амбітною та вражаючою не була ця атака, її вдалося перевершити лише через кілька місяців.

«Кіт справді виліз із мішка зі Stuxnet,– сказав Бустаманте Digital Trends. «До цього […] ви могли бачити це в певних атаках і в таких речах, як Пакистан, Індія в Інтернеті будучи знищеним під водою, [але] Stuxnet — це те місце, де лайно вдарило по вентилятору, і всі почали біжати поза».

Stuxnet був створений для саботування ядерної програми Ірану, і це спрацювало. Навіть зараз, через вісім років після його появи, фахівці з безпеки говорять про Stuxnet з благоговінням. «Поєднання кількох вразливостей нульового дня, справді передове націлювання на конкретні ядерні об’єкти. Це дивовижно", - сказав Бустаманте. «Такі речі можна побачити лише в романі».

Клечинський був так само вражений. «[…] якщо ви подивитеся на експлойти, які використовуються для наступальних можливостей кібербезпеки, це було до біса непогано. [Як це пішло після] комп’ютерів з програмованою логікою Siemens? Він був чудово розроблений, щоб знищити центрифуги».

Хоча в наступні роки ніхто не взяв на себе відповідальність за Stuxnet, більшість дослідників безпеки вважають, що це робота об’єднаної американсько-ізраїльської оперативної групи. Це здавалося більш імовірним, коли інші одкровення, як Злом прошивки жорсткого диска NSA, показав справжній потенціал хакерів національних держав.

Стиль атаки Stuxnet незабаром стане звичним явищем. Набори експлойтів продовжували залишатися основним вектором атак у наступні роки, але, як сказав нам Бустаманте в нашій Malwarebytes і його сучасники бачать, що вразливості нульового дня об’єднані разом кожен день.

Це не все, що вони бачать. Існує нове явище, походження якого можна простежити майже до початку нашої історії. Останнім часом це не спричинило проблем, і цілком можливо, що це буде в майбутньому.

Ваші гроші або ваші файли

Найперша атака програм-вимагачів технічно сталася ще в 1989 році, с троян СНІД. Зловмисне програмне забезпечення, надіслане дослідникам СНІДу на зараженій дискеті, чекало завантаження системи 90 разів, перш ніж зашифрувати файли та вимагати виплати 189 доларів готівкою, надісланих на адресу поштової скриньки в Панама.

Хоча на той час цю шкідливу програму називали трояном, ідея примусової обфускації файлів, відмовляючи користувачеві доступ до власної системи та вимога певної форми оплати, щоб повернути її до нормального стану, стали ключовими компонентами програми-вимагачі. Це знову почало відроджуватися в середині 00-х, але це було зростання анонімної криптовалюти Bitcoin що зробило програми-вимагачі поширеними.

«Якщо ви заразите когось програмою-вимагачем і попросите його внести кошти на банківський рахунок, цей рахунок буде закрито досить швидко», — пояснив король Zone Alarm. «Але якщо ви попросите когось покласти біткоїни в гаманець, споживачі платять. Насправді немає способу зупинити це».

Зважаючи на те, наскільки важко регулювати біткойн у повсякденних функціях із законним використанням, логічно, що зупинити його використання злочинцями ще більше. Тим паче, що люди платять викупи. Як і у випадку з наборами експлойтів і корпоративною структурою, яка їх підтримує, розробники програм-вимагачів максимально спрощують жертвам придбання криптовалюти та надсилання їй.

Але в другій половині підліткового віку 21^вул століття, ми почали спостерігати подальшу еволюцію цієї тактики, оскільки автори шкідливого програмного забезпечення знову переслідували гроші.

«Що мене здивувало щодо програм-вимагачів, так це те, як швидко вони перейшли від нас із вами до наших компаній», — сказав Клечинський. «Рік чи два тому заражалися ми, а не Malwarebytes, не SAP, Oracle і так далі. Вони чітко бачать гроші, і компанії готові їх платити».

Що далі?

Для більшості експертів, з якими ми спілкувалися, програми-вимагачі залишаються великою загрозою вони стурбовані. Король Zone Alarm дуже хотів поговорити про нові засоби захисту своєї компанії від програм-вимагачів і про те, як компаніям потрібно знати, наскільки небезпечною є ця тактика.

Клечинський вважає це надзвичайно прибутковою моделлю для розробників зловмисного програмного забезпечення, особливо коли ви привносите зростання кількості заражених пристроїв Інтернету речей, які складають деякі з найбільші ботнети, які коли-небудь бачив світ.

^{Покадрова зйомка DDoS-атаки, яка відбулася в 2015 році на Різдво.}

Використовуючи веб-сайт British Airways як приклад, він поставив риторичне запитання про те, скільки коштувало б цій компанії підтримувати свою онлайн-систему продажу квитків у разі загрози. Чи готова буде така компанія заплатити вимагачеві 50 000 доларів, якщо її веб-сайт не працюватиме навіть на кілька годин? Чи заплатить він 10 000 доларів за одну лише загрозу такого вчинку?

З потенційною втратою мільйонів продажів або навіть мільярдів ринкової вартості, якщо ціни на акції відреагують на таку атаку, неважко уявити світ, де це буде регулярним явищем. Для Клечинського це лише старий світ, який нарешті наздоганяє новий. Це тактика організованої злочинності минулих років, яка застосовується до сучасного світу.

«Раніше це був просто рекет. «Ви б хотіли придбати страхування від пожежі?» Було б прикро, якби з вашою будівлею щось трапилося», — сказав він. «Сьогодні питання «Чи хочете ви придбати страховку від програм-вимагачів?» Було б прикро, якби ваш веб-сайт не працював на 24 години».

Ця кримінальна участь все ще лякає Бустаманте з MalwareBytes, який каже нам, що компанія регулярно бачить загрози для своїх розробників, приховані в коді зловмисного програмного забезпечення.

Незважаючи на те, що він і компанія стурбовані власною особистою безпекою, він бачить наступну хвилю як щось більше, ніж просто програми-вимагачі. Він бачить це як напад на нашу здатність сприймати навколишній світ.

«Якщо ви запитаєте мене, яка наступна хвиля, це фейкові новини», — сказав він. «Шкідлива реклама пішла […] тепер це наживка для кліків і фейкові новини. Поширення таких новин — це назва гри, і це буде велика наступна хвиля». Враховуючи, як здається, були залучені національні держави в останні роки важко уявити, що він помиляється.

Наскільки загрозливими є атаки зловмисного програмного забезпечення від організованої злочинності, спонсорованих урядом сил безпеки та воєнізованих хакерів, найбільше Запевнення, яке ви можете отримати в такий час невизначеності, полягає в тому, що найслабша ланка в ланцюжку безпеки майже завжди є кінцем користувача. Ось вам..

Це страшно, але також додає сил. Це означає, що хоча люди, які пишуть зловмисне програмне забезпечення, вектори атаки та сама причина їх створення Віруси та трояни, перш за все, могли змінитися, найкращі способи залишатися в безпеці в Інтернеті старі шляхи. Зберігайте надійні паролі. Виправте програмне забезпечення. І будьте обережні, які посилання ви натискаєте.

Як сказав Malwarebytes Klecyzinski після нашого інтерв’ю: «Якщо ви не параноїк, ви не виживете».

Рекомендації редакції

• Корпорація Майкрософт щойно надала вам новий спосіб захисту від вірусів
• Хакери використовують вкрадені сертифікати Nvidia, щоб приховати зловмисне програмне забезпечення