secretmag.ru
Технологии11 мин.

Завирусилось. Стало известно, какие вредоносные программы грозят миру в ближайшие годы

В ноябре 1983 года студент из университета Южной Калифорнии Фред Коэн успешно протестировал прототип компьютерного вируса. Написанная им программа делала копии себя и проникала в разные компьютеры. Заражение длилось от 5 минут до 1 часа. Спустя четыре десятилетия компьютерные вирусы не исчезли — наоборот, окрепли и претерпели значительные изменения. Они заражают устройства практически мгновенно, умеют ловко маскироваться и, пока пользователь спокойно работает на своём компьютере, параллельно устраивать DDoS-атаки.

_ «Секрет фирмы» поговорил с экспертами по кибербезопасности о том, какие самые опасные вредоносные программы существуют сегодня и во что превратится компьютерный вирус в ближайшие годы._

Краткий экскурс в историю

Вряд ли 27-летний студент Фред Коэн мог предположить, что вредоносные аналоги программы, которую он написал при работе над своей диссертацией, какие-нибудь десять лет спустя изменят весь компьютерный мир. В ноябре 1983 года Коэн представил своему преподавателю лабораторный саморазмножающийся компьютерный вирус, способный поражать операционную систему VAX 11/750. Студент решил сразу же продемонстрировать возможности своей программы, запустив её одновременно на нескольких компьютерах.

Эксперимент прошёл успешно, и на его основе через год молодой учёный защитил свою диссертацию. Под чутким руководством наставника, компьютерного гуру и создателя одного из самых известных механизмов шифрования Леонарда Адлемана, в своей научной работе Коэн впервые назвал компьютерный вирус вирусом. Тем самым он вошёл в историю компьютерных наук.

Программа Коэна работала так же, как и современные вирусы. Она просто создавала свои копии, скрытно запуская их в компьютерную сеть.


Автором идеи и «отцом компьютерной вирусологии» на самом деле был американский учёный Джон фон Нейман, один из основоположников теории вычислительной техники. Возможность создания таких программ он описал в статье 1949 года «Теория самовоспроизводящихся автоматов».

В 1972 году на основе работы фон Неймана свою статью написал Вейт Рисак. Он описал полнофункциональный вирус (как мы его теперь называем), созданный на языке программирования Assembler для компьютерной системы Siemens 4004/35. А первый сетевой вирус Creaper появился в 1971 году в компьютерной сети Пентагона Arpanet3. Он был безобидным, но назойливым: мог самостоятельно выйти в Сеть и сохранить свою копию на удалённой машине. Его автор — Боб Томас из BBN Technologies, а вот автор созданной для противодействия ему программы Reaper остался неизвестен. Программа Reaper тоже была вирусом, её основной задачей было распространение по вычислительной сети и уничтожение файлов Creaper.

О разрушительном потенциале такого ПО впервые упомянул писатель-фантаст Том Браннер. В его романе «На гребне ударной волны» (1975) есть эпизод заражения вредительскими программами боевых роботов. Идею, что компьютерные программы могут вести себя подобно биологическим вирусам, постулировал и студент Дортмундского университета Юрген Краус в своей дипломной работе 1980 года.

В 1982 году появился первый вирус для персональных компьютеров Elk Cloner, написанный американским девятиклассником Ричардом Скрента. Программа, написанная для ОС Apple DOS 3.3, распространялась через дискеты и после 50-й репликации активировалась, отобразив на экране ПК короткое стихотворение с первой фразой «Elk Cloner: Программа с индивидуальностью».

Таким образом Коэн был лишь автором термина «компьютерный вирус». Да и тот приписывают его учителю.


В 1987 году Коэн предположил, что создать защиту от подобных программ — «совершенный антивирус» — невозможно. Всё равно будут появляться вредоносы, способные обходить защиту.

Символично, что в этом же 87-м, как бы в подтверждение выводов учёного, на планете выявили первую компьютерную эпидемию.

Её вызвал вирус персональных компьютеров под названием Brain, он же «пакистанский мозг» или «пакистанский грипп». По разным данным, он успел заразить от 20 000 до 250 000 ПК по всему миру.

Программу разработали два 19-летних брата из Пакистана. Они владели небольшим компьютерным магазинчиком и устали от того, что покупатели нелегально копировали купленное у них ПО. Они создали свой вирус, чтобы бороться с этим пиратством.

Brain распространялся через дискеты. Если программа на носители была просто скопирована без покупки лицензии, вирус заполнял на дискете все место, и через какое-то время ею невозможно было пользоваться. Однако разработчики вредоноса допустили один просчёт. Они не подумали, что их изобретение сможет распространяться и по обычным дискетам, где не было нелегально скопированных программ.

В итоге программа разлетелась по всему миру и от неё стали страдать обычные пользователи. Brain был и первым вирусом-невидимкой. Когда заражённый сектор диска пытались прочитать, вирус незаметно подставлял его незаражённый оригинал.

Следующая компьютерная напасть не заставила себя долго ждать. Она началась спустя год. Эпидемию спровоцировал аспирант Корнельского университета (США) Роберт Моррис. Он заявлял, что запустил компьютерного «червя» в качестве эксперимента.

И, кажется, эксперимент оказался удачным: вредоносная программа заразила около 10% компьютеров, подключенных к уже существовавшей тогда сети Интернет (ARPANET).

Вирус проник в компьютеры американских школ, лабораторий, различных госучреждений. Поражённые машины зависали, а через какое-то время они становились полностью непригодными для работы. Ущерб от «червя Морриса» тогда оценили в $100 млн.

За свой эксперимент Моррис тогда получил первое в истории наказание за кибератаку — три года условно, штраф в $10 000 и сотни часов исправительных работ.

В 90-е годы вирусы уже стали привычным явлением. При этом эпидемии стали более масштабными. Так, в 1994 году началась настоящая пандемия в компьютерном мире, спровоцированная вирусом OneHalf («одна половина»). Эта программа поражала компьютеры с операционной системой MS-DOS.

Вирус никак не проявлял себя, пока не поражал половину жёсткого диска компьютера. В результате у вредоносной программы появлялся контроль над операционной системой. Можно было уничтожить это ПО, но вместе с этим безвозвратно терялись и все хранившиеся на компьютере данные — они были предусмотрительно зашифрованы вредоносом.

Вирус долго бродил по миру, но вымер самостоятельно: с появлением операционок Windows 95 и выше он не смог распространяться.

Поколение вирусов

В 2000-е с массовым подключением компьютеров к Сети вирусы стали привычным явлением. Как и антивирусные программы, которые стали обязательным атрибутом любого компьютера.

С нулевых вирусы стали развиваться так же активно, как и все технологии. Но можно выделить две важных вехи в развитии вредоносных программ.

Первой вехой в эволюции вирусов стал 2005 год. Тогда появились шифровальщики (Virus-Encoder, Trojan-Encoder), а также программа-вымогатель Ransomware, рассказал «Секрету фирмы» директор по стратегическим коммуникациям Infosecurity a Softline Александр Дворянский.

«В это же время появились трояны-вымогатели — это разновидность зловредных программ, которая за последнее время стала одной из самых популярных у хакеров. Вирусы-вымогатели можно разделить на два основных типа: шифровальщики (крипторы, cryptoransomware) и блокировщики (блокеры). Цель злоумышленников при использовании подобных программ — получение выкупа за разблокировку зашифрованного устройства», — объяснил эксперт.

«Также в этот период появился вайпер (стиратель) — вредоносное ПО, цель которого — уничтожить данные на диске компьютера-жертвы. И сегодня эти программы существуют, развиваются и продолжают портить жизнь пользователям по всему миру», — добавил Дворянский.

Второй важной вехой в развитии зловредных программ в 2016 году стал вирус Petya и его многочисленные модификации. Попадая в компьютер жертвы, вирус скачивает из интернета шифровальщик и пытается поразить часть жёсткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает всем известный Blue Screen of Death — «синий экран смерти».

После перезагрузки появляется сообщение о проверке жёсткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдаёт себя за системную программу по проверке диска, шифруя в это время файлы с определёнными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных.

Если у жертвы нет резервной копии с устройства, встаёт выбор: заплатить злоумышленникам выкуп, как правило, от $300–500, или потерять всю информацию на своём устройстве, пояснил Дворянский.

Причём даже оплатив дань, человек, скорее всего, потеряет все данные: версия Petya 2017 года (NotPetya) не предполагает возможности расшифровки информации на жёстком диске.

По оценке Белого дома, общий ущерб, нанесенный NotPetya, составляет более $10 млрд.

Особо опасен, невозможно остановить

Специалисты по кибербезопасности спорят о том, какие вирусы в ближайшие годы будут таить в себе наибольшую опасность. Так, по мнению аналитиков компании по разработке антивирусов Trend Micro, самую большую угрозу несут черви-шифровальщики. К примеру, это вирус Cerber. Он шифрует все данные на зараженном компьютере, а затем начинает вымогать деньги у жертвы. Делает он это устно — с помощью синтезатора речи.

Не менее опасен вирус Sodinokibi. Он также превращает все данные в «азбуку Морзе» и требует у пользователей выкуп — в биткоинах.

Другой современный вирус под названием Locky проникает в компьютеры после того, как пользователи открывают одно из писем в папке спам. Вирус копирует данные на компьютере, а оригиналы удаляет. При этом он одновременно собирает самостоятельно статистику по каждому заражению. Возможно, для того чтобы его создатели в будущем смогли усовершенствовать свое оружие.

Большую угрозу несут также вирусы-кейлоггеры. Попадая на телефон или компьютер, они могут передавать «хозяину» каждое нажатие клавиши человеком. То есть создатели вируса могут перехватить любую переписку, данные банковских карт, если пользователь их вводил в браузере во время какой-то операции.

Кроме того, по миру бродят вирусы, превращающие компьютеры в «зомби-сети». Они получают права администратора на компьютере жертвы и передают их своему создателю. Происходит это незаметно для пользователей. Как правило, при таких атаках заражается большое число ПК, которые потом объединяются в целые сети. Они используются для организации более мощных атак — например атак-DDoS или для массовой рассылки спама.

Как рассказал «Секрету фирмы» руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности компании Positive Technologies Алексей Вишняков, к самым опасным вирусам можно отнести, помимо уже названных шифровальщиков, также эксплойты и бэкдоры.

«Шифровальщики портят ценные файлы пользователей. За последние пару лет этот класс вредного ПО используется в большинстве атак на корпоративные сети, что влечёт за собой огромный ущерб. Эксплойты же — это программы для использования ошибок в ПО. Они позволяют получить несанкционированный доступ в сетевую инфраструктуру. В последние годы число обнаруживаемых уязвимостей в ПО, в том числе критических уязвимостей, уверенно растёт. Увеличивается и число атак, в которых злоумышленники воспользовались эксплойтом для проникновения», — объяснил эксперт.

Бэкдоры же — это программы для обеспечения контроля за компьютером жертвы. «Бэкдоры усложняются, становятся более скрытными, за счёт чего эффективность атак становится выше», — заключил Вишняков.

Аналитик центра противодействия компьютерным атакам компании «Информзащита» Ильназ Гатауллин сказал, что на данный момент наиболее опасным считается тот вирус, который будет в своём арсенале для распространения иметь несколько эксплоитов 0-day (программы, против которых пока не выработаны методы защиты. — Прим. ред.), как, например, Stuxnet (распространённый в 2010-м году вирус, поражающий систему Windows. — Прим. ред.), сказал Гатауллин.

Руководитель отдела «Лаборатории Касперского» по исследованию сложных угроз Владимир Кусков заявил, что одной из самых актуальных угроз на сегодня являются мобильные банковские троянцы. Их основная задача— получить доступ к мобильному банкингу человека.

«Актуальной остается также угроза, связанная с различным шпионским и сталкерским ПО, которые могут собирать огромное количество данных на устройстве. В том числе они могут перехватывать переписку в социальных сетях и мессенджерах, анализировать нажатие клавиш, делать скриншоты экрана, записывать всё, что происходит рядом с жертвой, через микрофон и камеру мобильного телефона», — рассказал эксперт.

Тренды на вирусы в будущих сезонах

В ближайшем будущем продолжат набирать популярность вирусы, созданные не под Windows, а под менее популярные операционные системы: Linux, Mac OS, Android, IOS, — прогнозирует Алексей Вишняков. Также появится больше кроссплатформенных зловредов: один вирус сможет наносить вред разным операционным системам, атаковать одновременно смартфоны и ПК.

Ещё один тренд, по словам Вишнякова, — появление вирусов с учётом новых технологий: docker (упаковщик приложений в контейнер, который может быть развернут на любой Linux-системе. — Прим. ред.), kubernetes (платформа для управления контейнерными приложениями. — Прим. ред.), облачных решений, IaaS (вычислительная инфраструктура для облачных приложений — Прим. ред.).

Ильназ Гатауллин добавил, что ещё один тренд, который получит широкое распространение в будущем, — это развитие вредоносного ПО как услуги (Malware-as-a-service). Такое ПО можно будет арендовать для осуществления кибератак. С развитием мобильных технологий в последние несколько лет фиксируют огромное количество зловредных программ, адаптированных под мобильные устройства и даже игровые консоли, добавляет Александр Дворянский. В будущем их станет ещё больше.

«Меняются также и каналы передачи зловредных программ. Если раньше вирусы в основном распространялись через нелегитимные файлообменники (кино, игры, программы) или по электронной почте, то сейчас вирусы можно подхватить в социальных сетях, Telegram-каналах, на фишинговых сайтах и даже в мобильных приложениях», — отметил он.

Владимир Кусков считает, что один из опасных трендов — отказ от использования «традиционного» вредоносного ПО в пользу легитимных инструментов во время атак на организации. Сами атаки при этом зачастую управляются людьми. Это усложняет задачу обнаружения и предотвращения таких атак, и требует применения комплексных систем защиты и мониторинга угроз, сказал эксперт. «Другими опасными трендами являются активное использование уязвимостей в различном ПО, а также атаки на цепочку поставок», — добавил он.

«С переходом привычных нам офлайн-сервисов в онлайн продолжит развиваться фишинг и связанная с ним индустрия (как и сейчас с шифровальщиками), что повысит эффективность подобных атак. Информация в целом и персональные данные людей в частности становятся всё более дорогим товаром, поэтому будут развиваться угрозы, которые такую информацию крадут или помогают это делать. Не исключаем и новых трендов, отражающих изменения в мире, как это было несколько лет назад с появлением целого класса вредоносного ПО для скрытого майнинга криптовалюты», — заключил эксперт.

Все аналитики соглашаются, что в ближайшем будущем не появится «волшебного эликсира» — универсального ПО, способного защитить сразу от всех вирусов.

Борьба добра и зла — программистов, занимающихся кибербезопасностью, и хакеров — продолжится. Появятся новые технологии и программные решения, а поскольку программный код пишут люди, то в нём неминуемо возникнут ошибки. Этими уязвимостями и будут пользоваться мошенники

Коллаж: «Секрет Фирмы, depositphotos.com