15 печально известных вредоносных атак: самые первые и самые страшные

Вирусы и другие вредоносные программы, распространяющиеся по зловещим или сбивающим с толку причинам, были основным продуктом киберпанк-романов и реальных новостей на протяжении десятилетий. И, по правде говоря, компьютерные вирусы существовали еще до того, как появился Интернет.

Микко Хюппёнен, главный научный сотрудник WithSecure, борется с вредоносным ПО и киберпреступностью с 1990-х годов. За этот период компьютерные вирусы превратились из неприятности в потенциальную угрозу национальной безопасности.

«Основной сдвиг во вспышках вредоносного ПО произошел примерно в 2003–2004 годах», — говорит Хюппёнен CSO. «До этого большинство атак создавалось любителями ради развлечения. Некоторые из самовоспроизводящихся червей той эпохи не имели иной цели, кроме как распространиться как можно быстрее и шире. С тех пор большинство вредоносных программ разрабатывалось организованными преступными группами или правительствами, и атаки стали гораздо более целенаправленными».

В этой статье мы рассмотрим некоторые из наиболее важных вех в развитии вредоносного ПО: каждая из этих записей представляет собой новую идею, счастливый случай, выявивший зияющую брешь в системе безопасности, или атаку, которая оказалась особенно разрушительной, а иногда и все три сразу.

1. Creeper virus (1971)

Посмертная работа пионера вычислительной техники Джона фон Неймана «Теория самовоспроизводящихся автоматов», в которой была выдвинута идея компьютерного кода, способного воспроизводить и распространять себя, была опубликована в 1966 году. Пять лет спустя первый известный компьютерный вирус, названный Creeper, был написан Бобом Томасом. Написанный на языке ассемблера PDP-10, Creeper мог воспроизводить себя и перемещаться с компьютера на компьютер через зарождающуюся сеть ARPANET.

Creeper не нанес никакого вреда зараженным им системам — Томас разработал его в качестве доказательства концепции, и его единственным эффектом было то, что он заставил подключенные телетайпы напечатать сообщение, в котором говорилось: «Я — CREEPER: ПОЙМАЙ МЕНЯ, ЕСЛИ СМОЖЕШЬ». Мы упоминаем его здесь, несмотря на его безобидную природу, потому что он был первым и задал шаблон для всего, что последовало. Вскоре после выпуска Creeper Рэй Томлинсон, наиболее известный тем, что реализовал первую программу электронной почты, написал конкурирующую программу под названием Reaper, которая распространялась с компьютера на компьютер, устраняя код Creeper.

2. Brain virus (1986)

Creeper был разработан для перемещения по компьютерным сетям, но большую часть 1970-х и 1980-х годов этот вектор заражения был ограничен просто потому, что большинство компьютеров работали автономно. То вредоносное ПО, которое распространялось с компьютера на компьютер, делало это через дискеты. Самый ранний пример — Elk Cloner, который был создан 15-летним подростком в качестве шутки и заразил компьютеры Apple II. Но, вероятно, самым важным из этого поколения вирусов был тот, который стал известен как Brain и начал распространяться по всему миру в 1986 году.

Brain был разработан программистами (и братьями) Амджадом и Баситом Фаруком Алви, которые жили в Пакистане и имели бизнес по продаже медицинского программного обеспечения. Поскольку их программы часто распространялись пиратским способом, они создали вирус, который мог заражать загрузочный сектор пиратских дисков. Он был в основном безвреден, но включал их контактную информацию и предложение «дезинфицировать» программное обеспечение.

Неясно, смогли ли они на самом деле «исправить» проблему, но, как они объяснили 25 лет спустя, вскоре они начали получать телефонные звонки со всего мира и были шокированы тем, как быстро и далеко распространился Brain (и как злились на них люди, которые незаконно скопировали их программное обеспечение, по какой-то причине). Сегодня Brain широко рассматривается как первый вирус для IBM PC, поэтому мы включаем его в наш список, несмотря на его безобидную природу, и у братьев по-прежнему тот же адрес и номер телефона, которые они разослали 25 лет назад.

3. Morris worm (1988)

В 1988 году появилась вредоносная программа под названием Morris, которая могла претендовать на ряд первенств. Это был первый широко распространенный компьютерный червь, что означало, что он мог воспроизводить себя без необходимости в другой программе для копирования. Он был нацелен на множественные уязвимости, чтобы помочь ему распространяться быстрее и дальше. Хотя он не был предназначен для причинения вреда, он был, вероятно, первым вредоносным ПО, которое нанесло реальный существенный финансовый ущерб, более чем заслужив свое место в этом списке. Он распространялся невероятно быстро — в течение 24 часов после своего выпуска он заразил 10% всех подключенных к Интернету компьютеров — и создал несколько своих копий на каждой машине, заставив многие из них зависнуть. Оценки стоимости атаки составили миллионы.

Червь назван в честь своего создателя Роберта Морриса, который в то время был аспирантом Корнелла и задумал его как доказательство концепции и демонстрацию широко распространенных недостатков безопасности. Моррис не ожидал, что он распространится так быстро или что его способность многократно заражать отдельные компьютеры вызовет столько проблем, и он попытался помочь устранить ущерб, но было слишком поздно. Он оказался неудачным субъектом еще одного достижения: первым человеком, осужденным по Закону о компьютерном мошенничестве и злоупотреблении 1986 года.

4. ILOVEYOU worm (2000)

В отличие от предыдущих создателей вредоносных программ в этом списке, Онель де Гусман, которому в 2000 году было 24 года и который жил на Филиппинах, создал свое творение с простым преступным намерением: он не мог позволить себе коммутируемый доступ, поэтому он создал червя, который воровал пароли других людей, чтобы он мог использовать их учетные записи. Но вредоносная программа так ловко использовала ряд недостатков Windows 95 — особенно тот факт, что Windows автоматически скрывала расширения файлов вложений электронной почты, чтобы люди не понимали, что запускают исполняемые файлы, — что она распространилась как лесной пожар, и вскоре миллионы зараженных компьютеров отправляли копии червя и передавали пароли обратно на филиппинский адрес электронной почты. Она также стерла множество файлов на целевых компьютерах, нанеся ущерб на миллионы долларов и ненадолго отключив компьютерную систему парламента Великобритании.

де Гусману так и не было предъявлено обвинение в совершении преступления, поскольку в то время на Филиппинах ничего из того, что он делал, не было незаконным, но он выразил сожаление в интервью 20 лет спустя, заявив, что никогда не предполагал, что вредоносная программа распространится так далеко, как она это сделала. Он также оказался своего рода пионером в социальной инженерии: червь получил свое название, потому что распространялся с помощью писем с «ILOVEYOU» в теме письма. «Я понял, что многие люди хотят друг друга, они хотят любви, поэтому я назвал его так», — сказал де Гусман.

5. Mydoom worm (2004)

Червю Mydoom уже 20 лет, но он все еще удерживает ряд рекордов, включая самый быстро распространяющийся компьютерный червь. Червь Mydoom заражал компьютеры через электронную почту, затем брал под контроль компьютер жертвы, чтобы рассылать по электронной почте еще больше своих копий, и делал это так эффективно, что на пике своей популярности он составлял четверть всех отправленных по всему миру писем, подвиг, который никогда не был превзойден. В конечном итоге заражение нанесло ущерб на сумму около 50 миллиардов долларов.

Создатель и конечная цель Mydoom остаются загадкой и сегодня. Помимо рассылки копий червя, зараженные компьютеры также использовались в качестве ботнета для запуска DDoS- атак на SCO Group (компанию, которая агрессивно пыталась заявить о правах интеллектуальной собственности на Linux ) и Microsoft , что заставило многих заподозрить некоего мошенника из сообщества разработчиков ПО с открытым исходным кодом. Но ничего конкретного так и не было доказано. 

6. Zeus trojan (2007)

Zeus впервые был замечен в 2007 году, в самом конце эпохи Web 1.0, но он показал путь к будущему вредоносного ПО. Троян, который заражает через фишинг и скрытые загрузки с зараженных веб-сайтов, — это не просто один из видов злоумышленников; вместо этого он действует как средство для всех видов вредоносных нагрузок. Его исходный код и руководство по эксплуатации были раскрыты в 2011 году, что помогло как исследователям безопасности, так и преступникам, которые хотели использовать его возможности.  

Обычно вы услышите, как Zeus называют «банковским трояном», поскольку именно на этом его варианты концентрируют большую часть своей энергии. Например, вариант 2014 года умудряется вклиниться между пользователем и сайтом его банка, перехватывая пароли, нажатия клавиш и многое другое. Но Zeus выходит за рамки банков, и его другая вариация пожирает информацию Salesforce.com.

7. Stuxnet (2010)

Stuxnet – первое в мире кибероружие – был сложным червем, нацеленным на промышленные системы управления. Это была первая вредоносная программа, способная нанести физический ущерб промышленному оборудованию. Сообщения приписывают создание вредоносной программы совместной операции США и Израиля, нацеленной на промышленные системы управления, используемые на ядерных объектах Ирана в Нананце.

Stuxnet использовал несколько ранее неизвестных уязвимостей нулевого дня Windows для заражения систем Windows, а затем распространился по сети, сканируя управляемые с помощью программного обеспечения Siemens Step7 программируемые логические контроллеры (ПЛК).

Основной целью вредоносного ПО были тайно приобретенные системы, используемые иранцами для управления высокоскоростными центрифугами для обогащения урана. После заражения эти системы ускорялись и замедлялись за пределами нормальных рабочих условий, эффективно разрушая деликатное оборудование. Stuxnet отправлял ложную обратную связь контроллеру системы, чтобы скрыть нанесенный им ущерб.

Вредоносное ПО, распространившееся по всему миру за пределы своей предполагаемой цели, наглядно продемонстрировало уязвимость критической инфраструктуры к кибератакам.

8. CryptoLocker ransomware (2013)

Zeus также может использоваться для создания ботнетов контролируемых компьютеров, которые хранятся в резерве для какой-то более поздней зловещей цели. Контролеры одного из таких ботнетов, называемого Gameover Zeus, заразили своих ботов CryptoLocker, одной из самых ранних известных версий того, что стало известно как ransomware. Вымогатели шифруют файлы на компьютере жертвы и требуют плату в криптовалюте для восстановления доступа.

CryptoLocker прославился своим быстрым распространением и мощным асимметричным шифрованием, которое (в то время) было трудно взломать. Он также прославился из-за чего-то необычного в мире вредоносных программ: счастливого конца. В 2014 году Министерство юстиции США и зарубежные агентства смогли взять под контроль ботнет Gameover Zeus и бесплатно восстановить файлы жертв CryptoLocker. К сожалению, CryptoLocker распространялся также через старый добрый фишинг, и его варианты все еще существуют.

9. Emotet trojan (2014)

Emotet — еще один вредоносный код, функциональность которого изменилась за годы его активности. Фактически, Emotet — яркий пример так называемого полиморфного вредоносного кода, код которого немного меняется при каждом доступе, чтобы избежать распознавания программами безопасности конечных точек. Emotet — это троян, который, как и другие в этом списке, в основном распространяется через фишинг (повторяйте за нами: не открывайте неизвестные вложения электронной почты).

Emotet впервые появился в 2014 году, но, как и Zeus, теперь это модульная программа, которая чаще всего используется для доставки других видов вредоносного ПО, а Trickster и Ryuk являются двумя яркими примерами. Emotet настолько хорош в своем деле, что Арне Шенбом, глава Федерального управления по информационной безопасности Германии, называет его «королем вредоносного ПО».

10. Mirai botnet (2016)

Все вирусы и другие вредоносные программы, которые мы обсуждали до сих пор, поражали то, что мы считаем «компьютерами» — ПК и ноутбуки, которые мы используем для работы и развлечений. Но в 21 веке существуют миллионы устройств с большей вычислительной мощностью, чем все, что мог бы заразить Creeper. Эти устройства Интернета вещей (IoT) вездесущи, игнорируются и часто остаются без исправлений в течение многих лет.

Ботнет Mirai на самом деле был похож на некоторые из ранних вредоносных программ, которые мы обсуждали, потому что он использовал ранее неизвестную уязвимость и нанес гораздо больше разрушений, чем предполагал его создатель. В этом случае вредоносная программа нашла и захватила гаджеты IoT (в основном камеры видеонаблюдения), пароли по умолчанию которых не были изменены. Парас Джа, студент колледжа, создавший вредоносную программу Mirai, намеревался использовать созданные им ботнеты для DoS-атак, которые помогли бы свести счеты в темном мире хостинга серверов Minecraft, но вместо этого он развязал атаку, которая была сосредоточена на крупном провайдере DNS и отрезала большую часть восточного побережья США от Интернета на большую часть дня.

11. Industroyer (2016)

Industroyer — это сложная вредоносная структура, связанная с атаками на энергосистему Украины. Атака с использованием Industroyer привела к значительному отключению электроэнергии, затронувшему пятую часть Киева примерно на час в декабре 2016 года.

Предыдущие варианты вредоносного ПО, наиболее известный из которых Stuxnet, были нацелены на промышленные системы управления, но Industroyer (или Crash Override) был первым, специально нацеленным на оборудование, связанное с распределением электроэнергии.

12. Petya ransomware/NotPetya wiper (2016/7)

Троян-вымогатель, получивший название Petya, начал поражать компьютеры в 2016 году. Хотя у него был продуманный механизм блокировки данных своих жертв — он шифровал главную таблицу файлов, которую ОС использует для поиска файлов, — он распространялся посредством обычных фишинговых атак и не считался особенно опасным.

Сегодня его, вероятно, забыли бы, если бы не то, что произошло в следующем году. Появился новый самовоспроизводящийся вариант червя, который использовал слитые АНБ эксплойты EternalBlue и EternalRomance для распространения с компьютера на компьютер. Первоначально распространявшаяся через бэкдор в популярном украинском пакете бухгалтерского программного обеспечения, новая версия — получившая название NotPetya — быстро посеяла хаос по всей Европе. Хуже всего? Хотя NotPetya по-прежнему выглядел как программа-вымогатель, это был очиститель, полностью разработанный для уничтожения компьютеров, поскольку отображаемый адрес, по которому пользователи могли отправить свой выкуп, генерировался случайным образом и не приносил никакой пользы. Исследователи полагают, что российская разведка перепрофилировала обычную вредоносную программу Petya для использования в качестве кибероружия против Украины — и поэтому, в дополнение к огромному ущербу, который она нанесла, NotPetya заслуживает своего места в этом списке, иллюстрируя симбиотические отношения между спонсируемыми государством и преступными хакерами.

13. WannaCry (2017)

Печально известный червь-вымогатель WannaCry затронул более 200 000 компьютеров Windows в 150 странах, когда он был выпущен в мае 2017 года. Распространение вредоносного ПО привело к существенным сбоям в работе критически важных служб, включая здравоохранение в целом и Национальную службу здравоохранения Великобритании в частности, прежде чем его распространение удалось остановить. Другими жертвами стали Telefonica в Испании, FedEx и Nissan.

WannaCry использовал уязвимость в сетевом протоколе SMBv1 от Microsoft под названием EternalBlue, эксплойт для которой был разработан АНБ и слит хакерской группой Shadow Brokers. Вредоносное ПО распространялось без взаимодействия с пользователем по уязвимым системам и машинам с истекшим сроком поддержки Windows XP.

Британский исследователь в области безопасности Маркус Хатчинс случайно обнаружил домен с функцией «аварийного отключения», который остановил распространение вредоносного ПО после его регистрации.

Власти США обвинили в нападении в сентябре 2018 года подозреваемого из Северной Кореи. Северная Корея отрицает какую-либо ответственность.

Хотя WannaCry вызвал массовые разрушения, его создатели заработали немного денег, по некоторым оценкам, всего $80 000, на своих гнусных действиях из-за недостатков в дизайне и реализации вредоносного ПО. Эти недостатки включали невозможность автоматически проверять платежи или расшифровывать файлы даже после оплаты.

14. Clop ransomware (2019)

Clop (иногда пишется как Cl0p) — еще один вариант программы-вымогателя, который появился на сцене в 2019 году и с тех пор стал настолько популярным, что его назвали одной из главных вредоносных угроз 2022 года. Помимо того, что Clop не позволяет жертвам получить доступ к своим данным, он также позволяет злоумышленнику извлечь эти данные. McAfee приводит технические подробности, включая обзор способов обхода программного обеспечения безопасности.

Однако Clop делает интересным и опасным не то, как он используется, а то, кем он используется. Он находится на переднем крае тенденции, называемой ransomware as a service, в которой профессиональная группа хакеров выполняет всю работу для того, кто заплатит им достаточно (или разделит процент от средств жертв, которые они получают от вымогателей). Более ранние записи в этом списке относятся к тем временам, когда Интернет был уделом любителей и одиноких волков; сегодня, похоже, даже киберпреступность в значительной степени является вотчиной правительств и профессионалов.

15. Darkside (2021)

Операция Darkside по предоставлению услуг по вымогательству вирусов появилась в 2020 году, а годом позже приобрела дурную славу из-за атаки на Colonial Pipeline в мае 2021 года.

Атака привела к дефициту топлива на юго-востоке США. Colonial Pipeline согласилась выплатить преступникам, осуществившим атаку, 75 биткойнов (около 4,4 млн долларов на тот момент) в обмен на ключ дешифрования. Даже после получения ключа потребовалось несколько дней, чтобы полностью восстановить системы.

Из-за атаки банда Darkside стала киберврагом номер один, что привело к усилению борьбы с программами-вымогателями.

Джош Фрулингер, Джон Лейден

Источник: https://www.csoonline.com/article/572911/11-infamous-malware-attacks-the-first-and-the-worst.html