fbpx
22.8 C
София

Вирусите в Persistence of Chaos, които нанесоха щети за над $100 милиарда: ревю

Най-четени

Даниел Десподов
Даниел Десподовhttps://www.kaldata.com/
Ежедневен автор на новини. Увличам се от съвременни технологии, оръжие, информационна безопасност, спорт, наука и концепцията Internet of Things.

Тази пролет на аукцион бе представен лаптопа Samsung NC10-14GB, произведен през 2008 година с инсталирана операционна система Windows XP SP3. Но интересът на купувачите бе предизвикан не от компютъра, а от това, което е записано на него. В портативния компютър са записани и отделно вилнеят  шест вируса: ILOVEYOU, MyDoom, SoBig, WannaCry, DarkTequila и BlackEnergy, които нанесоха директни и косвени щети за около $100 милиарда.

Цената на устройството също заслужава внимание – тя достигна $1,35 милиарда. Това не е малко, особено като се има предвид, че нито лаптопът, нито вредоносният софтуер не са някаква особена ценност.

Лаптопът получи името The Persistence of Chaos (постоянството на хаоса) и може да бъде сравнен с чума, която може да унищожи целия свят. Въпреки че някои от тези вируси са вече остарели, те могат да нанесат вреда, ако отново заразят големи групи компютри – в целия свят е пълно с компютри, които работят под управлението на остарели версии на операционната система Windows и заразата може отново да се разпространи.

The Persistence of Chaos е отрязан от интернет и локални мрежи – китайския художник Гуо О Донг (Guo O Dong), който продаде този лаптоп, реши по този начин да опази света от тази своеобразна цифрова Кутия на Пандора. Купувачът се съгласи с условието да не използва този компютър за нанасяне на вреди, а да го изучава за собствено удоволствие.

Нека се спрем малко по-подробно върху вирусите в лаптопа Samsung NC10-14GB, наречен Постоянството на хаоса.

ILOVEYOU

ILOVEYOU, известен още като LoveLetter, започна своята черна работа през 2000 година. Той нанесе вреди за около $15 милиарда, от които $5,5 милиарда през първата седмица от активността на този компютърен вирус. Според други данни, световната икономика е загубила от този вирус около $8,7 милиарда, но за изчистването на заразата са били необходими още $15 милиарда.

ILOVEYOU започва своя път от Филипините. През нощта на 4 срещу 5 май 2000 година вирусът е изпратен към редица електронни пощи във Филипините. В текста на имейла, който гласи „Отвори си прикачения файл“, се съдържа и реда ILoveYou, а към писмото е прикачен скриптът LOVE-LETTER-FOR-YOU.TXT.vbs. В повечето случаи потребителите отварят прикачения файл. При отварянето на файла със скрипта, вирусът изпраща свое копие до всички електронни контакти в адресната книга на Microsoft Outlook. Вирусът презаписва някои файлове, като по този начин унищожаваше ценна информация, и се разпространява чрез IRC каналите, създавайки файла LOVE-LETTER-FOR-YOU.HTM в системната папка на Windows.

Авторите на вируса – Реонел Рамонес и Онел де Гузман от Филипините казаха, че само са искали да проверят една хипотеза от своята дипломна работа и изобщо не са очаквали, че ще се случи нещо подобно. Те бяха задържани след анализа на сорс кода на вируса, но след кратко разследване бяха пуснати, понеже не са нарушили нито един филипински закон.

Вирусът използва недоглеждане в операционната система Windows и в Outlook, по подразбиране разрешаващо изпълнението на скриптове. За причина на възникналата епидемия се счита недоглеждането на разработчиците на Microsoft, които по това време въобще не считат скриптовите езици за заплаха и не са предвидили никаква защита.

Авторите на това чудо се отърваха само с лека уплаха, но заслужаваха наказания. Те не само, че не представиха какъвто и да било инструмент за унищожаването на ILOVEYOU, но и публикуваха своеобразен конструктор, с който вирусът може да бъде променен според нуждите на всеки. Това доведе до появата на десетки модификации.

Един от системните администратори от това време споделя, че когато в началото на месец май отишъл на работа, решил да погледне колко вируса са попаднали в пощенските филтри. В тежки нощи филтрите улавят около 50 броя, но сутринта на 5 май те са били над 100. След половин час броячът показал 450, а към края на дена – 13 000.

Специалистите от компаниите за информационна сигурност добавят, че тогава се надига истинска истерия, а телефоните са започнали да звънят непрекъснато. Тогава влиза в действие и социалното инженерство: модифицирани версии на вируса идват от името на приятели, които предлагат срещи, има писма с предложения за интересни подаръци, други предлагат интересни вицове. Днес това е класика, но в началото на века нещата са наистина сериозни.

Ситуацията се влошава толкова много, че някои големи военни ведомства, включително и Пентагонът, са принудени да спрат своите пощенски услуги. Според анализите, направени по-късно, ILOVEYOU е заразил около 10 милиона компютърни системи и дори е записан в Книгата на Гинес, като най-разрушителният вирус в компютърната история.

Към днешен ден изглежда, че ILOVEYOU не прави кой знае какво – само променя и унищожава някои файлове – снимки, документи и други подобни. Само че тогава резервни архиви на практика никой не прави. Уроците, научени от ILOVEYOU се оказаха твърде горчиви.

Sobig

Този вирус за първи път бе забелязан през 2002 година. Счита се, че чрез различните си модификации е заразил милиони компютри от целия свят. Според анализите, Sobig е нанесъл на световната икономика щети за около $35 милиарда.

Този вирус е характерен с различните си версии, обозначени като Sobig.A, Sobig.B и т.н. Най-много се разпространява версията Sobig.F. Това е един от най-активните вируси, който действа като червей и като троянец. Отново се използва социална инженерия – потребителите уж получават отговори на имейли – Re: Кино, Re: Документи и други подобни. Всъщност, съвсем същият метод се използва и до днес от изпращачите на спам и на вредоносен софтуер.

И тук също се използват двойни разширения, например .mpeg.pif, като операционната система по подразбиране скрива едното разширение в името на файла. А потребителят самостоятелно инфектира системата си.

Не е съвсем коректно Sobig да бъде наричан вирус, понеже не вреди директно на системата. Sobig изтегля допълни файлове от интернет, пингва адреса [email protected] за преброяване на заразените компютри и се използва за разпространяване на спам. Ето защо се счита за първият червей за създаването на спам-ботнет.

Типично за това време, сорс кодът на Sobig е груб, не е оптимизиран и дори недописан. Ето защо, Sobig.F например, не може да се разпространява в локални мрежи. Но той е един от първите, в които се използва спуфинг.

Microsoft се опитва да се бори с този вирус чрез пач, който блокира някои типове файлове, но ZIP не е сред тях и хакерите се възползват от това. След това софтуерният гигант направи нещо неочаквано – предложи четвърт милиона долара за името на автора на Sobig. Но създателят на този вирус така и не можа да бъде намерен.

Mydoom

Mydoom се появи през 2004 година и счупи рекордите на ILOVEYOU и Sobig по скорост на разпространение. Както и рекорда на Sobig за нанесени щети. Анализите показаха, че той е нанесъл икономическа вреда за около $38 милиарда.

Според данни на Symantec, в него се използват два тригера. Първият се задейства на 1 февруари 2004 година и е отговорен за появилите се тогава масови DoS атаки. Вторият тригер спира разпространението на вируса на 12 февруари същата година, но оставените задни врати остават активни. После се появяват други версии с по-различни дати на стартиране и спиране.

Mydoom се разпространява най-често чрез електронната поща, като писмата имат заглавия от рода на: „Hi, Test, Error, Mail Delivery System, Delivery Status Notification, Server Report или Mail Transaction Failed – тоест, предизвикват любопитството на потребителите. Червеят съдържа прикачен файл, който ако се изпълни, инсталира вируса, който след това претърсва файловете за електронни адреси и се разпраща на всеки един от тях. За да увеличи шанса си за разпространение, червеят се копира и в споделената папка на програмата за обмяна на файлове KaZaA.

И тук се използват двойни разширения за имената на прикачените файлове – вижда се нещо безобидно от типа на .txt или .doc, но второто разширение е .bat, .exe, .cmd – тоест, нещо изпълнимо.

Вирусът се записва в системата, прави промени в системния регистър, закачва се към портовете и може да зарежда файлове отвън. Една от най-характерните черти на Mydoom е, че действа много избирателно – той доста грамотно подбира сървърите. В него се използват маски и не се изпращат писма до опасни за него домейни –  в списъка с маски могат да се видят avp, .gov, *sopho*, *icrosof* и редица електронни адреси, като [email protected], @postmaster и други. Условията са много.

Счита се, че основната цел на Mydoom е организирането на DoS и разпращането на нежелана поща. Но страничен ефект от неговото действие бе повсеместен спад в скоростта на интернет, висок ръст на спама, ограничение на достъпа до някои ресурси и блокиране работата на антивирусните програми.

BlackEnergy

За автор на този вирус се счита популярният Cr4sh, който след като приключил с реализирането на идеите си, продал сорс кодовете за $700 през 2007 година. Купувачът се появил бързо и започнал да използва този червей за реализирането на DDoS. Но колкото повече се приближаваме към нашите дни, толкова по-рядко се появяват „случайни“ вируси, написани от само един човек. Все по-често компютърните вируси се използват като средство за шантаж и получаване на пари.

След около три години се появява нова версия на BlackEnergy, която е значително усъвършенствана. Вече има сериозно криптиране, защита, модулна архитектура, система за обновяване. А малко по-късно се появява и трета версия, която е още по-съвършена.

BlackEnergy постепенно се превръща в комбайн за провеждането на масови DDoS атаки, кибершпионаж и унищожаване на данните. Всички виждат, че авторите на новите версии на BlackEnergy са истински професионалисти – с квалификация и умения, далече над средното ниво.

Малко по-късно целта на разработчиците на BlackEnergy стават енергийните и промишлените компании от целия свят, правителственият сектор и медиите.

За това, по какъв начин този вирус се оказва в толкова чувствителни сектори има само хипотези. Според едни от тях, за заразяването е бил необходим физически достъп до тези компютри. Според други версии, заразяването съвсем не е толкова трудно за използваните в редица предприятия и институции откровено остарял хардуер и системи за защита.

Сумата на нанесената вреда от BlackEnergy не е изчислена, но най-вероятно всъщност е изчислена, но не е публикувана официално.

DarkTequila

DarkTequila е може би един от най-забавните и необичайни вируси в предложения за продан лаптоп. Той е използван през 2013 година за атаки срещу клиентите на мексиканските финансови институции, но не се ограничава само с тях. Тази вредоносна програма събира данни за логване в cPanel, Plesk, Amazon, уеб порталите за резервиране на билети, Microsoft Office 365, IBM Lotus Notes и т.н.

DarkTequila остава незабелязан в продължение на цели пет години, понеже действа тихо и внимателно, с предварително разузнаване на ситуацията. Заразяването на компютърните системи е банално – чрез фишингов сайт или чрез флаш стик, който разпространява заразата.

Но преди да се настани в дадена компютърна система вирусът предварително проверява, дали има инсталиран антивирусен софтуер и дали компютърът не е включен към мрежа, в която се прави отдалечена проверка за вирусна зараза. Освен това, ако компютърът не е интересен за създателите на DarkTequila, то вирусът незабележимо се отстранява.

Но ако потребителят се окаже интересен и от него може да се измъкне нещо, то DarkTequila изтегля комплект основни плъгини. Един от тях следи състоянието на системата и ако има опасност вирусът да бъде забелязан, всичко трябва да бъде махнато и нищо да не издаде неговото съществуване. Изтегля се и плъгин за заразяване на флаш стикове плюс допълнение за разбиване паролите на FTP клиентите и браузърите, както и плъгин-кейлогър. Данните се изпращат към сървърите на DarkTequila в криптиран вид.

Експертите високо оцениха ефективността на DarkTequila и предупреждават, че този вирус работи и до днес, и е твърде опасен.

Няма точни данни за нанесените вреди и само се казва, че това са „милиони долари“.

WannaCry

Списъкът с твърде неприятните неща, инсталирани на The Persistence of Chaos приключва с WannaCry. През месец август 2017 година медиите от целия свят започнаха да съобщават за мощни рансъмуер атаки. Този вирус не пощадява никого: болници, военни, полиция, обикновени потребители.

WannaCry криптира файловете, блокира работата на операционната система и иска откуп за декриптиращата парола в размер на $300, който трябва да се заплати чрез биткойни. Още в началото хакерите предупреждават, че ако сумата не бъде заплатена в рамките на 3 дни, то тя се удвоява, а ако и след още няколко дни не бъде платено, всички данни необратимо се изтриват. По този начин жестоко си изпатиха редица счетоводни къщи, изтрити бяха медицински бази данни и какво ли още не.

Рансъмуер атаката нямаше да бъде толкова разрушителна, ако потребителите навреме обновяваха своята Windows, понеже пачът излезе месец и половина преди епидемията да разрасне.

Светът бе спасен благодарение на младия Маркус Хътчинс, който регистрира домейна iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Рансъмуерът WannaCry проверява дали вече не е заразил някой компютър чрез активността на този домейн. Ако той не бъде намерен в Глобалната мрежа, то започва криптирането на файловете. Но наличието на работещ домейн с това име активира вградения във вируса тригер и спира неговото действие.

След това слабо квалифицирани хакери се опитаха да премахнат вграденото самоунищожение на рансъмуера и WannaCry изчезна за известно време. След това бяха разработени ефективни инструменти срещу WannaCry, с които криптираните файлове могат да се декриптират.

Създателят на този рансъмуер спечели около $130 000 – именно така сума се събра в неговия криптопортфейл. Но косвените щети са много високи и се оценяват на около $4 милиарда.


Това бяха шестте компютърни вируса, инсталирани в продадения вече лаптоп Persistence of Chaos. Какво ще бъде инсталирано на следващия лаптоп от подобен тип, можем само да гадаем.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

2 Коментара
стари
нови
Отзиви
Всички коментари

Нови ревюта

Подобни новини