Dzieje cyberprzestępczości: nowe tysiąclecie i wysyp robaków

Przeczytaj także: Dzieje cyberprzestępczości: era nowoczesnego ransomware’u

1999: Y2K

Rok 1999 był czasem rozwoju nowych firm z branży zaawansowanych technologii (tzw. dotcomów) i jednocześnie obaw związanych z błędem Y2K. znanym w Polsce jako pluskwa milenijna. Zjawisko to wywoływało powszechną panikę, ponieważ istniała obawa, że starsze komputery po 31 grudnia 1999 roku przestaną działać z powodu wady oprogramowania zapisanego w systemie BIOS komputera, które steruje pracą płyty głównej. Istniało ryzyko, że jego twórcy zapisywali aktualny rok korzystając tylko z ostatnich dwóch cyfr. To skutkowałoby sytuacją, w której 1 stycznia 2000 r. system operacyjny komputera miał „myśleć”, że jest 1 stycznia 1900 r. Zakłóciłoby to pracę np. infrastruktury krytycznej: od pomp benzynowych i wind po giełdy i elektrownie. Ostatecznie Y2K okazał się mniejszym problemem niż sądzono. Dzięki podjętej w skali całego świata w 1999 r. akcji weryfikacyjnej większość firm i osób prywatnych w żaden sposób tego nie odczuła. Jednak, jak przypominają eksperci Fortinet, strach przed Y2K zdominował wiadomości na całym świecie na wiele miesięcy.

1999/2000: pojawia się pierwszy botnet

W 2000 r. coraz większą popularność zdobywał stały dostęp do internetu. Użytkownicy domowi i firmy mogły być online przez całą dobę. Dla cyberprzestępców stanowiło to okazję nie do odrzucenia, weszli więc tym samym w erę botnetów i robaków.

Najprościej mówiąc, botnet jest to grupa zainfekowanych komputerów, które znajdują się pod kontrolą operatora. W tamtych latach botnety były bardzo proste. Pierwszym zaobserwowanym botnetem był EarthLink Spam, który zadebiutował w 2000 roku. Miał on proste zadanie: rozsyłać ogromne ilości spamu. Odpowiadał za 25% ówczesnej śmieciowej poczty, w sumie około 1,25 miliarda wiadomości. Jego operator Khan C. Smith otrzymał karę w wysokości 25 milionów dolarów.

Jeszcze wcześniej, w 1999 roku, powstał GTbot, co czyni go pierwszym botnetem w historii. Było to bardzo prymitywne narzędzie. Rozprzestrzeniało się na inne urządzenia i odbierało polecenia za pośrednictwem czatów IRC. Jego kontrolerzy wykorzystywali sieć zainfekowanych urządzeń do przeprowadzania ataków typu DDoS (rozproszona odmowa usługi – Distributed Denial-Of-Service).

Wzrost popularności robaków

Robaki wciąż stanowią część arsenału hakerów, choć nie są już tak powszechne jak 20 lat temu. Różnią się od wirusów tym, że do ich rozprzestrzeniania nie jest potrzebna ingerencja człowieka. We wczesnych latach dwutysięcznych zainfekowanie robakiem było zazwyczaj dość łatwo zauważalne, ponieważ często uniemożliwiało korzystanie z urządzenia. Robaki zużywały coraz więcej mocy obliczeniowej komputera i ostatecznie zatrzymywały pracę na zainfekowanej maszynie. Ich działanie było wykorzystywane m.in. do prowadzenia ataków DoS (odmowa usługi). Gdy złośliwy kod rozprzestrzenił się np. na całą firmę, zakłócał jej funkcjonowanie, niezależnie od tego, czy taka była intencja twórców robaka.

2000: I LOVE YOU

Nowe tysiąclecie rozpoczęło od dużego zainteresowaniem mediów robakiem I LOVE YOU, który w rekordowym tempie rozprzestrzeniał się po całym świecie. Został on stworzony przez studenta z Filipinów – Onela De Guzmana.

I LOVE YOU rozprzestrzeniał się przy użyciu wielu mechanizmów. Przede wszystkim był wysyłany do użytkowników za pośrednictwem poczty elektronicznej jako złośliwy załącznik „LOVE-LETTER-FOR-YOU.txt.vbs”". Po otwarciu przez zaatakowanego robak przeszukiwał książkę adresową Microsoft Outlook i wysyłał wiadomości e-mail, podszywając się pod ofiarę i replikując się jako załącznik. To nowatorskie podejście spowodowało zainfekowanie milionów komputerów w ciągu kilku dni. Wiele osób zaufało e-mailom pochodzącym od znanych im osób. Ta metoda jest nadal wykorzystywana jako część strategii hakerów, np. autorów Emoteta.

2003: Blaster (MSBlast, lovesan)

W sierpniu 2003 r. wielu firmowych i biznesowych użytkowników było już podłączonych do internetu za pomocą łącza szerokopasmowego. Stało się to powodem rekordowych w skali ataków robaków i podobnych narzędzi. 11 sierpnia tego roku pojawił się Blaster (znany również jako MSBlast i lovesan). Użytkownicy byli zszokowani, gdy ich komputery nagle zaczęły wyświetlać „niebieski ekran śmierci” (Blue Screen Of Death) i restartować się. Nie wiedzieli wtedy, że ich praca została przerwana przez robaka Blaster. Był to pierwszy globalny atak typu Denial-of-Service.

Blaster był wyjątkowo uciążliwy. Jego działania nie przerywało nawet ciągłe restartowanie komputera. Zaczynało się ono wtedy od początku, prowadząc do kolejnego wyłączenia urządzenia. Wykorzystywał on do rozprzestrzeniania się lukę w procesach systemów Windows XP i 2003. Celem robaka było przeprowadzenie ataku typu SYN flood na witrynę windowsupdate.com, aby uniemożliwić komputerom dostęp do aktualizacji. Na szczęście dla Microsoftu autor popełnił błąd i pokierował Blastera do niewłaściwej domeny. W rzeczywistości urządzenia do pobierania aktualizacji korzystały z domeny windowsupdate.microsoft.com.

Intencje autorów Blastera zostały ujawnione w komunikacie zawartym w kodzie złośliwego oprogramowania:
I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

Co ważne, Blaster nie infekował urządzeń, na których przed 11 sierpnia zostały zastosowane odpowiednie poprawki. Ten przykład wyraźnie pokazuje, jak ważne jest natychmiastowe aktualizowanie urządzeń. Niestety, do dzisiaj wielu użytkowników nadal ignoruje tę zasadę.

2004: MyDoom

Był to najszybciej rozprzestrzeniający się robak pocztowy w historii, który do tej pory pozostaje pod tym względem rekordzistą. Wyprzedził nawet słynnego I LOVE YOU.