معرفی خطرناک‌ترین و بدترین ویروس‌های کامپیوتری تاریخ

در اوایل هزاره جدید، زمانی که اینترنت هنوز پدیده‌ای نوظهور برای بسیاری از کاربران خانگی بود، ویروسی با نامی فریبنده جهان را در نوردید. ویروس ILOVEYOU که با نام کرم Love Letter نیز شناخته می‌شود، در سال ۲۰۰۰ از فیلیپین آغاز شد.

این بدافزار از یکی از ابتدایی‌ترین و در عین حال موثرترین تکنیک‌های نفوذ یعنی «مهندسی اجتماعی» استفاده می‌کرد.

ساختار این ویروس بسیار ساده اما هوشمندانه بود. پیامی با موضوع «دوستت دارم» به همراه یک فایل پیوست با پسوند .vbs برای قربانی ارسال می‌شد.

از آنجایی که سیستم‌عامل ویندوز در آن زمان پسوندهای شناخته شده را پنهان می‌کرد، کاربران تصور می‌کردند با یک فایل متنی ساده روبرو هستند. به محض باز شدن فایل، ویروس به تمام مخاطبان موجود در Outlook کاربر ارسال می‌شد.

خسارت ناشی از این ویروس حدود ۱۰ میلیارد دلار تخمین زده می‌شود. فراتر از بحث مالی، ILOVEYOU پارادایم امنیت دیجیتال را تغییر داد. این بدافزار ثابت کرد که ضعیف‌ترین حلقه در زنجیره امنیت، نه کدهای نرم‌افزاری، بلکه کنجکاوی و اعتماد انسان‌هاست.

این درس بزرگی بود که هنوز هم در حملات فیشینگ مدرن کاربرد دارد.

این ویروس توانست در عرض چند روز به بیش از ۵۰ میلیون کامپیوتر نفوذ کند. حتی نهادهای بزرگی مانند پنتاگون و سازمان سیا ناچار شدند سیستم‌های ایمیل خود را برای جلوگیری از گسترش آلودگی موقتاً قطع کنند.

این حادثه باعث شد تا قوانین جرایم رایانه‌ای در بسیاری از کشورها بازنگری و سخت‌گیرانه‌تر شود.

امروزه ILOVEYOU به عنوان نمادی از دوران کلاسیک بدافزارها شناخته می‌شود. اگرچه کدهای آن ساده بودند، اما سرعت انتشارش نشان داد که شبکه‌های متصل جهانی چقدر در برابر یک ایده ساده اما ویروسی آسیب‌پذیر هستند. این تجربه، پایه و اساس توسعه آنتی‌ویروس‌های مبتنی بر تحلیل رفتار را بنا نهاد.

اگر بخواهیم مخرب‌ترین بدافزار مدرن را نام ببریم، قطعاً Emotet در صدر لیست قرار می‌گیرد. پلیس اروپا (Europol) زمانی آن را «خطرناک‌ترین بدافزار جهان» نامید.

ایموتت که ابتدا در سال ۲۰۱۴ به عنوان یک تروجان بانکی ساده شناسایی شد، به مرور زمان تکامل یافت و به یک زیرساخت عظیم برای توزیع سایر بدافزارها تبدیل شد.

ویژگی متمایز ایموتت، ساختار ماژولار و چندمنظوره آن است. این بدافزار پس از نفوذ به سیستم، به جای تخریب مستقیم، راه را برای ورود باج‌افزارهای سنگین مانند Ryuk یا Conti باز می‌کند.

در واقع، گردانندگان ایموتت دسترسی به سیستم‌های آلوده را به گروه‌های سایبری دیگر می‌فروشند که به این مدل کسب‌وکار، «بدافزار به عنوان خدمت» (MaaS) گفته می‌شود.

ایموتت از روش‌های بسیار پیچیده برای فرار از شناسایی استفاده می‌کند. کدهای آن به طور مداوم تغییر می‌کنند (Polymorphism) تا آنتی‌ویروس‌های سنتی قادر به تشخیص امضای آن نباشند.

همچنین، این بدافزار می‌تواند ایمیل‌های واقعی کاربر را سرقت کرده و خود را در پاسخ به مکاتبات قبلی ارسال کند تا احتمال فریب خوردن گیرنده به حداکثر برسد.

در سال ۲۰۲۱، طی یک عملیات بین‌المللی هماهنگ، زیرساخت‌های این بات‌نت توسط پلیس متلاشی شد. با این حال، گزارش‌های جدید نشان می‌دهند که نسخه‌های بازسازی شده آن دوباره در حال فعالیت هستند.

این موضوع نشان‌دهنده تاب‌آوری بالای شبکه‌های تبهکاری سایبری در عصر حاضر است که مانند یک موجود زنده تکامل می‌یابند.

مقابله با ایموتت نیازمند رویکردی چندلایه است. از آنجایی که این بدافزار عمدتاً از طریق پیوست‌های آفیس و ماکروها منتشر می‌شود، آموزش کارکنان و استفاده از ابزارهای EDR (شناسایی و پاسخ در نقاط انتهایی) حیاتی است.

ایموتت به ما آموخت که تهدیدات مدرن دیگر تک‌بعدی نیستند و با یک زنجیره از حملات روبرو هستیم.

در حالی که اکثر بدافزارهای تاریخی بر کامپیوترهای شخصی تمرکز داشتند، پگاسوس تعریف جدیدی از جاسوسی در دنیای موبایل ارائه داد. این بدافزار که توسط شرکت اسرائیلی NSO Group توسعه یافته، پیشرفته‌ترین ابزار جاسوسی است که تاکنون شناسایی شده است.

هدف اصلی پگاسوس نه کاربران عادی، بلکه سیاستمداران، روزنامه‌نگاران و فعالان حقوق بشر است.

نکته وحشتناک درباره پگاسوس، استفاده از حملات «بدون کلیک» (Zero-click) است. در بدافزارهای قدیمی، کاربر باید روی یک لینک کلیک می‌کرد، اما پگاسوس می‌تواند تنها با یک تماس بی‌پاسخ در واتس‌اپ یا یک پیام iMessage پنهان، گوشی هدف را کاملاً آلوده کند.

قربانی هیچ راهی برای فهمیدن آلودگی یا جلوگیری از آن ندارد.

پس از نصب، پگاسوس به تمام داده‌های گوشی دسترسی پیدا می‌کند. این شامل پیام‌های رمزنگاری شده در تلگرام و واتس‌اپ، ایمیل‌ها، لیست مخاطبان و گالری تصاویر است.

علاوه بر این، بدافزار می‌تواند میکروفون و دوربین گوشی را به صورت مخفیانه روشن کرده و از محیط اطراف جاسوسی کند، بدون اینکه باتری گوشی گرم شود یا نشانه‌ای ظاهر گردد.

پگاسوس نشان‌دهنده تجاری‌سازی سلاح‌های سایبری در سطح دولتی است. این بدافزار از آسیب‌پذیری‌های روز صفر (Zero-day) استفاده می‌کند که حتی شرکت‌هایی مثل اپل و گوگل از وجود آن‌ها بی‌اطلاع هستند.

کشف این بدافزار باعث شد تا امنیت سیستم‌عامل‌های موبایل به طور جدی زیر سوال برود و استانداردهای جدیدی برای حفاظت از حریم خصوصی تدوین شود.

تاثیرات پگاسوس فراتر از دنیای دیجیتال است و مستقیماً بر امنیت فیزیکی افراد تاثیر گذاشته است. این بدافزار یادآور این واقعیت تلخ است که در دنیای امروز، دستگاهی که همیشه در جیب داریم، می‌تواند به خطرناک‌ترین جاسوس علیه خودمان تبدیل شود.

مقابله با چنین تهدیداتی نیازمند به‌روزرسانی مداوم سیستم‌عامل و استفاده از حالت‌های امنیتی خاص است.

در سال ۲۰۱۷، جهان شاهد حمله‌ای بود که در ابتدا یک باج‌افزار معمولی به نظر می‌رسید، اما به سرعت مشخص شد که هدف آن چیزی فراتر از پول است.

NotPetya که ابتدا از طریق یک آپدیت آلوده در نرم‌افزار حسابداری اوکراینی MeDoc منتشر شد، به سرعت در شبکه‌های جهانی شرکت‌های بزرگی مانند Maersk و Merck گسترش یافت.

تفاوت اصلی NotPetya با باج‌افزارهای دیگر این بود که این بدافزار در واقع یک «وایپر» (Wiper) بود. در باج‌افزارهای عادی، پس از پرداخت پول، کلید رمزگشایی ارائه می‌شود. اما NotPetya به گونه‌ای طراحی شده بود که ساختار فایل‌ها را به طور غیرقابل بازگشت تخریب می‌کرد.

حتی اگر قربانی باج را پرداخت می‌کرد، راهی برای بازیابی اطلاعات وجود نداشت.

این بدافزار از همان ابزار EternalBlue استفاده می‌کرد که در WannaCry به کار رفته بود، اما با مکانیزم‌های انتشار داخلی پیشرفته‌تر. نات‌پتیا توانست در عرض چند ساعت، کل زیرساخت‌های دیجیتال بزرگترین شرکت کشتیرانی جهان (Maersk) را فلج کند.

خسارت ناشی از این حمله بیش از ۱۰ میلیارد دلار برآورد شده است که آن را به پرهزینه‌ترین حمله سایبری تاریخ تبدیل می‌کند.

تحلیل‌گران امنیتی معتقدند NotPetya یک سلاح سایبری با اهداف ژئوپلیتیک بود که دولت اوکراین را هدف قرار داده بود، اما به دلیل ماهیت خودکارش، به کل جهان سرایت کرد.

این حادثه مفهوم «حملات زنجیره تأمین» را به صدر اخبار آورد و نشان داد که چگونه آلوده کردن یک نرم‌افزار واسط می‌تواند کل اقتصاد جهانی را تحت تاثیر قرار دهد.

درس بزرگ NotPetya برای سازمان‌ها، اهمیت جداسازی شبکه‌ها و داشتن پشتیبان‌های آفلاین بود. این بدافزار ثابت کرد که در جنگ‌های سایبری مدرن، مرز میان اهداف نظامی و غیرنظامی به کلی از بین رفته است و هر کسب‌وکاری می‌تواند به طور ناخواسته در میانه یک نبرد دیجیتال قرار بگیرد.

برای درک ریشه بدافزارهای امروزی، باید به سال ۱۹۸۸ بازگردیم؛ زمانی که رابرت تاپان موریس، دانشجوی دانشگاه کورنل، اولین کرم کامپیوتری گسترده را در اینترنت (که آن زمان آرپانت نام داشت) آزاد کرد.

هدف موریس نه تخریب، بلکه سنجش اندازه اینترنت بود، اما یک خطای کوچک در کدنویسی باعث فاجعه شد.

کرم موریس به گونه‌ای طراحی شده بود که بررسی کند آیا یک کامپیوتر قبلاً آلوده شده است یا خیر. اما موریس نگران بود که مدیران سیستم با پاسخ کاذب، کرم را فریب دهند.

بنابراین او کد را طوری تنظیم کرد که در ۱۴ درصد مواقع، حتی اگر سیستم آلوده بود، دوباره خود را تکثیر کند. این تکرار بی‌رویه باعث اشغال تمام منابع سیستم و از کار افتادن هزاران کامپیوتر شد.

در آن زمان حدود ۶۰ هزار کامپیوتر به اینترنت متصل بودند که بیش از ۱۰ درصد آن‌ها (حدود ۶ هزار دستگاه) توسط این کرم فلج شدند. این اولین بار بود که یک بدافزار توانست در مقیاس وسیع باعث اختلال در خدمات شود.

خسارت‌های ناشی از زمان تلف شده برای پاک‌سازی سیستم‌ها بین ۱۰ تا ۱۰۰ میلیون دلار تخمین زده شد.

پیامد قانونی این حادثه نیز تاریخی بود. رابرت موریس اولین کسی بود که تحت قانون «کلاهبرداری و سوءاستفاده کامپیوتری» آمریکا محکوم شد. این اتفاق باعث شد تا جامعه علمی و نظامی متوجه شوند که اینترنت چقدر در برابر کدهای مخرب آسیب‌پذیر است.

در واقع، امنیت تا پیش از آن یک اولویت در طراحی پروتکل‌های اینترنتی نبود.

مهم‌ترین میراث کرم موریس، تشکیل اولین تیم واکنش به فوریت‌های کامپیوتری (CERT) بود. متخصصان دریافتند که برای مقابله با تهدیدات سایبری، نیاز به یک نهاد مرکزی برای هماهنگی و اطلاع‌رسانی وجود دارد.

کرم موریس به ما آموخت که حتی یک خطای کوچک در کدهای خودتکثیرشونده می‌تواند پیامدهای جهانی غیرقابل پیش‌بینی داشته باشد.