Вирусы и другие вредоносные программы, распространяющиеся по зловещим или загадочным причинам, десятилетиями были одним из основных элементов романов о киберпанке и реальных новостей. И по правде говоря, в сети были компьютерные вирусы еще до того, как появилось само понятие интернета.
В этой статье CSO рассмотрены некоторые из наиболее важных вех в эволюции вредоносных программ: каждая из этих записей представляет собой новую идею, счастливый случай, обнаруживший зияющую дыру в системе безопасности, или атаку, которая оказалась особенно разрушительной, а иногда и все три аспекта.
Creeper вирус (1971)
Brain вирус (1986)
Morris червь (1988)
ILOVEYOU червь (2000)
Mydoom червь (2004)
Zeus троян (2007)
CryptoLocker программа-вымогатель (2013)
Emotet троян (2014)
Mirai бот-сеть (2016)
Petya программа-вымогатель/NotPetya вайпер (программа для бесследного стирания следов работы с приложениями и доступа к файлам) (2016/17)
Clop программа-вымогатель (2019 - до сих пор)
В 1966 году была опубликована посмертная работа пионера компьютерной техники Джона фон Неймана «Теория самовоспроизводящихся автоматов», в которой излагалась идея компьютерного кода, способного воспроизводить и распространять себя. Пять лет спустя первый известный компьютерный вирус под названием Creeper был написан Бобом Томасом. Написанный на языке ассемблера PDP-10 Creeper мог воспроизводить себя и перемещаться с компьютера на компьютер через зарождающуюся сеть ARPANET.
Creeper не причинил вреда зараженным системам - Томас разработал его как доказательство концепции, и его единственным эффектом было то, что он заставлял подключенные телетайпы печатать сообщение, которое гласило: «Я - CREEPER: ПОЙМАЙ МЕНЯ, ЕСЛИ СМОЖЕШЬ». Здесь он упоминается, несмотря на свой безобидный характер, потому что он был первым и стал образцом для всех последующих вредоносных программ. Вскоре после выпуска Creeper Рэй Томлинсон, наиболее известный благодаря реализации первой программы электронной почты, написал конкурирующую программу под названием Reaper, которая распространялась от компьютера к компьютеру, удаляя код Creeper.
Creeper был разработан для проникновения в компьютерные сети, но на протяжении большей части 1970-х и 80-х годов этот вектор заражения был ограничен просто потому, что большинство компьютеров работали изолированно. То вредоносное ПО, которое переходило с компьютера на компьютер, распространялось через дискеты. Самый ранний пример - Elk Cloner, который был создан 15-летним подростком в качестве шутки и заразил компьютеры Apple II. Но, вероятно, самым важным из этого поколения вирусов был тот, который стал известен как Brain и начал распространяться по всему миру в 1986 году.
Brain был разработан программистами (и братьями) Амджадом и Баситом Фаруком Алви, которые жили в Пакистане и занимались продажей медицинского программного обеспечения. Поскольку их программы часто были пиратскими, они создали вирус, который мог заразить загрузочный сектор пиратских дисков. В основном это было безобидно, но содержало их контактную информацию и предложение «вылечить» программное обеспечение.
Смогли ли они на самом деле «решить» проблему, неясно, но, как они объяснили 25 лет спустя, вскоре они начали получать телефонные звонки со всего мира и были потрясены тем, как быстро и далеко распространился Brain (и как безумно люди, которые незаконно скопировали их программное обеспечение, по какой-то причине были на них). Сегодня Brain широко известен как первый вирус для IBM PC, поэтому мы включаем его в список, несмотря на его безопасную природу, и у братьев все еще есть тот же адрес и номер телефона, которые они разослали 25 лет назад.
В 1988 году появилось вредоносное ПО под названием Morris, которое могло претендовать на ряд первых. Это был первый широко распространенный компьютерный червь, а это означало, что он мог воспроизводить себя, не нуждаясь в дополнительной программе. Он нацелен на несколько уязвимостей, чтобы помочь ему распространяться быстрее и дальше. Хотя он и не предназначался для причинения вреда, он, вероятно, был первым вредоносным ПО, нанесшим реальный существенный финансовый ущерб, более чем заслужившим свое место в этом списке. Он распространился невероятно быстро - в течение 24 часов после выпуска он заразил 10 процентов всех компьютеров, подключенных к интернету, - и создал несколько своих копий на каждой машине, в результате чего многие из них остановились. Оценки затрат на атаку исчисляются миллионами.
В отличие от предыдущих создателей вредоносного ПО в этом списке, Онель де Гусман, которому в 2000 году было 24 года и который жил на Филиппинах, создал свое творение с прямыми преступными намерениями: он не мог позволить себе услугу коммутируемого доступа, поэтому он создал червя, который мог красть чужие пароли, чтобы он мог использовать их учетные записи. Но вредоносное ПО так умело воспользовалось рядом недостатков Windows 95 - особенно тем фактом, что Windows автоматически скрывала расширения файлов вложений электронной почты, чтобы люди не понимали, что они запускают исполняемые файлы, - что оно распространилось со скоростью лесного пожара, и вскоре миллионы зараженных компьютеров рассылали копии червя и пароли обратно на филиппинский адрес электронной почты. Он также стер многочисленные файлы на целевых компьютерах, причинив ущерб на миллионы долларов и ненадолго отключив компьютерную систему парламента Великобритании.
Де Гузману так и не предъявили обвинения в совершении преступления, потому что в то время все, что он делал, не было незаконным на Филиппинах, но он выразил сожаление в интервью 20 лет спустя, сказав, что никогда не планировал, что вредоносное ПО распространится так далеко. Он также стал своего рода пионером в области социальной инженерии: червь получил свое название, потому что распространялся с электронными письмами с «ILOVEYOU» в строке темы. «Я понял, что многие люди хотят любви, поэтому я назвал это так», - сказал де Гусман.
Червь Mydoom заражал компьютеры по электронной почте, затем брал под свой контроль компьютер-жертву, чтобы рассылать по электронной почте новые копии себя, и делал это настолько эффективно, что на своем пике на его долю приходилось четверть всех электронных писем, рассылаемых по всему миру, - подвиг, который никогда не был превзойден. В итоге инфекция нанесла ущерб на сумму более 35 миллиардов долларов, что с поправкой на инфляцию также никогда не превышалось.
Создатель и конечная цель Mydoom сегодня остаются загадкой. Помимо рассылки копий червя по почте, зараженные компьютеры также использовались в качестве ботнета для запуска DDoS-атак на SCO Group (компанию, которая агрессивно пыталась заявить о правах интеллектуальной собственности на Linux) и Microsoft, что заставило многих заподозрить мошенников. член сообщества открытого исходного кода. Но ничего конкретного так и не было доказано.
Впервые Zeus был обнаружен в 2007 году, в конце эры Web 1.0, но он показал, каким может быть вредоносное ПО в будущем. Троянец, который заражает через фишинг и попутную загрузку с зараженных веб-сайтов, - это не просто один из видов злоумышленников; вместо этого он действует как средство для всех видов вредоносных полезных нагрузок. Его исходный код и руководство по эксплуатации просочились в 2011 году, что помогло как исследователям безопасности, так и преступникам, которые хотели использовать его возможности.
Обычно вы слышите, как Zeus называют «банковским трояном», поскольку именно на этом его варианты сосредоточивают большую часть своей энергии. Например, вариант 2014 года умудряется вклиниваться между пользователем и его банковским веб-сайтом, перехватывая пароли, нажатия клавиш и многое другое. Но Zeus выходит за рамки банков, с другой вариацией, поглощающей информацию Salesforce.com.
Zeus также может быть использован для создания ботнетов из контролируемых компьютеров, оставленных в резерве для каких-то более поздних зловещих целей. CryptoLocker одного из таких ботнетов под названием Gameover Zeus заразили своих ботов CryptoLocker, одной из самых ранних известных версий программы-вымогателя. Программа-вымогатель шифрует многие файлы на компьютере жертвы и требует оплату в криптовалюте, чтобы восстановить доступ к данным.
CryptoLocker прославился своим быстрым распространением и мощным асимметричным шифрованием, которое (в то время) было исключительно трудно взломать. Он также стал известен из-за чего-то необычного в мире вредоносных программ: счастливого конца. В 2014 году Министерству юстиции США и зарубежным агентствам удалось взять под контроль ботнет Gameover Zeus и бесплатно восстановить файлы жертв CryptoLocker. К сожалению, CryptoLocker также распространяется через старый добрый фишинг, и его варианты все еще существуют.
Emotet - еще одна вредоносная программа, функциональность которой изменилась за годы, в течение которых она оставалась активной. Фактически, Emotet является ярким примером того, что известно как полиморфное вредоносное ПО, код которого немного меняется каждый раз при доступе к нему, чтобы избежать распознавания программами безопасности конечных точек. Emotet - это троян, который, как и другие в этом списке, в основном распространяется посредством фишинга (повторяйте за нами: не открывайте неизвестные вложения электронной почты).
Emotet впервые появился в 2014 году, но, как и Zeus, в настоящее время представляет собой модульную программу, которая чаще всего используется для доставки других форм вредоносных программ, например, Trickster и Ryuk. Emotet настолько хорош в своем деле, что Арне Шенбом, глава Федерального ведомства по информационной безопасности Германии, называет его «королем вредоносных программ».
Все вирусы и другие вредоносные программы, которые мы обсуждали до сих пор, поразили то, что мы называем «компьютерами» - ПК и ноутбуки, которые мы используем для работы и развлечений. Но в 21 веке есть миллионы устройств с большей вычислительной мощностью, чем все, что мог заразить Cryper. Эти устройства интернета вещей (IoT) вездесущи, игнорируются и часто не исправляются годами.
Ботнет Mirai на самом деле был похож на некоторые из ранних вредоносных программ, которые мы обсуждали, потому что он использовал ранее неизвестную уязвимость и причинил гораздо больше вреда, чем предполагал его создатель. В этом случае вредоносное ПО обнаружило и завладело IoT-устройствами (в основном камерами видеонаблюдения), у которых не были изменены пароли по умолчанию. Парас Джа, студент колледжа, создавший вредоносное ПО Mirai, намеревался использовать созданные им ботнеты для DoS-атак, которые помогли бы свести счеты в малоизвестном мире хостинга серверов Minecraft, но вместо этого он развязал атаку, направленную на крупного провайдера DNS и отключил большую часть восточного побережья США от интернета на большую часть дня.
Троянец-вымогатель, получивший название Petra, начал поражать компьютеры в 2016 году. Хотя у него был хитрый механизм блокировки данных своих жертв - он шифрует основную таблицу файлов, которую ОС использует для поиска файлов, - он распространялся с помощью обычных фишинговых атак и не считается особо опасным.
Сегодня об этом, наверное, забыли бы, если бы не то, что произошло в следующем году. Появился новый вариант самовоспроизводящегося червя, который использовал раскрытые эксплойты АНБ EternalBlue и EternalRomance для распространения с компьютера на компьютер. Первоначально распространяемая через бэкдор в популярном украинском пакете программ для бухгалтерского учета, новая версия, получившая название NotPetya, быстро распространилась по всей Европе.
Хотя NotPetya по-прежнему выглядел как программа-вымогатель, это был вайпер, предназначенный исключительно для уничтожения компьютеров, поскольку отображаемый адрес, по которому пользователи могли отправить свой выкуп, был сгенерирован случайным образом и не приносил пользы. Исследователи полагают, что разведки некоторых стран могут перепрофилировать более обычную вредоносную программу Petya для использования в качестве кибероружия против других стран, и поэтому, в дополнение к нанесенному огромному ущербу, NotPetya занимает свое место в этом списке, иллюстрируя симбиотические отношения между спонсируемыми государством и криминальными хакерами.
Clop (иногда пишется Cl0p) - это еще один вариант программы-вымогателя, появившийся на сцене в 2019 году и с тех пор становившийся все более распространенным, до такой степени, что он был назван одной из главных вредоносных угроз 2022 года. Помимо предотвращения доступа жертв к своим данным, Clop также позволяет злоумышленнику эксфильтровать эти данные. У McAfee есть разбивка технических деталей, в том числе обзор способов обхода этой программой системы безопасности.
Однако что делает Clop таким интересным и опасным, так это не то, как он используется, а кем. Он находится в авангарде тенденции, называемой Ransomware-as-a-Service, в которой профессиональная группа хакеров выполняет всю работу за того, кто заплатит им достаточно (или разделит процент от богатства программ-вымогателей, которые они извлекают из жертв). Более ранние записи в этом списке относятся к тому дню, когда интернет был для любителей и одиноких волков; сегодня кажется, что даже киберпреступность в значительной степени является прерогативой правительств и профессионалов.
Автор: Josh Fruhlinger
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться