Ima neka ruska veza: Kako je nastao virus ‘lični smak svijeta’

Autori ‘MyDoom’ softverskog koda nikada nisu otkriveni, iako većina stručnjaka za cyber bezbjednost smatra da su u pitanju ruski državljani, te da je virus originalno i potekao iz Rusije.

'MyDoom.B' je i danas aktivan na internetu, a neki stručnjaci smatraju da je svaki deseti 'spam email' i dalje zaražen njime (Kay Nietfeld / EPA)

Početkom 2004. godine, internet je bio sasvim drugačije mesto. Nije bilo društvenih mreža (u današnjem obliku), kao ni video servisa poput YouTubea, budući da većina globalnih korisnika i dalje nije imala velike brzine pristupa internetu. Najpopularniji web sajtovi u to vreme su uglavnom služili za preuzimanje igrica, čitanje vesti ili ostavljanje poruka (dashboards).

Takođe, sve veću popularnost su doživljavali i tzv. torrent softveri, koji su omogućavali preuzimanje muzike, filmova i serija putem tzv. P2P protokola, što je tada bilo u „sivoj zoni“, a danas je potpuno nelegalno.

Najpopularnija usluga za email (elektronsku poštu) je bio Yahoo Mail, iako će gigant Google sredinom te godine lansirati i svoj Gmail, koji je danas najkorišćeniji. Ipak, većina korisnika, naročito onih poslovnih, koristili su neku od aplikacija za email kako bi primali i slali elektronsku poštu. Dodaci (attachments) u to vreme nisu bili veliki – uglavnom su to bili dokumenti od nekoliko megabajta, a ređe poneka slika u jpeg formatu.

Iako se do tada već znalo da hakeri masovno koriste emailove da bi proširili svoje viruse širom interneta (poput virusa „I Love You“ iz 2000. koji je uspeo da zarazi najmanje deset miliona računara širom sveta), email je i dalje smatran „relativno sigurnim“ vidom komunikacije.

‘Lični smak svijeta’

Krajem januara i početkom februara 2004. godine, korisnici u Evropi, a nešto kasnije i širom SAD-a, počeli su da masovno dobijaju email poruke od poznatih osoba, ali sa čudnom sadržinom, najčešće tekstom „Andy, im just doing my job, nothing personal“ („Andy, ja samo radim svoj posao, ništa lično“). Neki korisnici u Švedskoj su dobijali slične email poruke, ali sa tekstom na ruskom, delom pesme „Ustani, velika zemljo“ (pesma popularna za vreme Drugog svetskog rata). U drugim delovima Evrope, naslov email poruke je ponekad bio na francuskom ili nemačkom (uglavnom „Greška pri slanju“ ili samo „Greška“), ali je sadržaj bio isti. Sve ovakve email poruke su imale isti fajl u dodatku, koji je naizgled bio tekstualni fajl i imao je ikonu aplikacije „Windows Notepad“ kada bi bio preuzet. Ipak, u pitanju je bio kompjuterski kod, napisan u jeziku „C++“, koji bi nakon pokretanja iskopirao sve kontakte iz email aplikacije, te poslao kopiju originalnog zaraženog emaila svim primaocima.

Na ovaj način, virus se izuzetno velikom brzinom proširio na internetu, a smatra se da je 15-ak odsto svih email poruka u svetu tada bilo zaraženo. Stručnjaci su ubrzo ovaj virus nazvali „MyDoom“ (lični smak sveta), zbog brzine i agresivnosti njegovog širenja. Ova verzija se nazivala i „MyDoom.A“, ali se za samo mesec dana pojavila i druga, još agresivnija verzija „MyDoom.B“, koja bi aktivno skenirala sve aplikacije na računaru koje su imale neke korisničke podatke ili kontakte.

Kada bi korisnik otvorio dokument zaražen „MyDoom“ virusom, dobio bi nečitljiv tekstualni dokument sa nasumičnim karakterima, ali bi virus u pozadini kreirao fajl „Shimgapi.dll“ u sistemskom folderu računara. Ovaj fajl su stručnjaci kasnije nazvali „zadnja vrata“ (eng. backdoor), jer je omogućavao hakerima puni pristup računaru i podacima putem interneta. Zbog ovoga je „MyDoom“ nazvan i „crvom“ (worm virus), jer je bio u stanju da „probuši“ operativni sistem. „MyDoom.B“ je takođe imao i komponentu koja je sve zaražene računare koristila kao „mrežu botova“ ili „zombi računara (eng. botnet), za napade na brojne web stranice velikih kompanija, među kojima je bila i stranica Microsofta. U leto 2004. godine se pojavila i nova „grana“ ovih virusa (eng. software fork) nazvana „Doomjuice“, koja je koristila „rupu“ u već inficiranim računarima za širenje novih virusa.

U opasnosti kompjuteri u industriji i medicini

Procenjuje se da je u poslednjih 20 godina najmanje pedeset miliona računara bilo zaraženo nekom vrstom „MyDoom“ virusa.

Iako računari koji koriste MacOS i Linux operativne sisteme nikada nisu bili „u opasnosti“, a antivirusni softveri već godinama unazad lako uklanjaju viruse iz ove „softverske porodice“, i danas su u opasnosti tzv. legacy računari. Radi se o specifičnim i specijalizovanim računarima, najčešće u industriji i medicini, koji upravljaju složenim sistemima, te se iz različitih razloga moraju koristiti i danas. Oni obično i dalje rade na starim verzijama Windowsa, poput Windowsa XP. Ovo je naročito slučaj na Zapadnom Balkanu, gde su veoma često u državnom sektoru u upotrebi računarski sistemi stari i po 15-ak godina.

„MyDoom.B“ je i danas aktivan na internetu, a neki stručnjaci smatraju da je svaki deseti „spam email“ i dalje zaražen njime. Sistemi i kompjuterske mreže zaraženi ovim virusom su za 20-ak godina prouzrokovali direktnu štetu od preko četrdeset milijardi dolara usled gubitka važnih podataka, te stotine milijardi dolara u izgubljenoj dobiti kompanija (lost revenue).

Nova generacija virusa

Početkom jula 2009. godine, kompjuterske sisteme – prvo u Južnoj Koreji, a zatim i u SAD-u – pogodio je talas hakerskih napada, koji su naizgled bili izuzetno sofisticirani, jer ih nisu mogli detektovati čak ni najbolji softveri. Ubrzo se ispostavilo da je, zapravo, u pitanju „nova generacija“ MyDoom porodice virusa, koja je bila „unapređena“ za napad na kompjutere sa novim verzijama Windowsa. Tada su bili i pogođeni i pojedini kompjuteri u samoj Beloj kući, te pojedini sistemi u Senatu i Pentagonu.

Autori „MyDoom“ softverskog koda nikada nisu otkriveni, iako većina stručnjaka za cyber bezbednost smatra da su u pitanju ruski državljani, te da je virus originalno i potekao iz Rusije. Analiza samog softverskog koda virusa pokazuje semantiku kakvu najčešće koriste ruski programeri kada pišu i „normalne“ programe. Takođe, u nekim delovima koda virusa nalaze se i „primedbe“ na ruskom, gde se ocenjuje da „ovaj deo koda ne radi dovoljno dobro“.

Veruje se i da je „MyDoom“ zapravo bio „dokaz izvodljivosti“ (proof of concept) koji je pokazao da ruski hakeri mogu uspešno lansirati viruse i globalne cyber napade. Zanimljivo je i da će prva „prava“ jedinica „državnih hakera“, nazvana „Jedinica 74455“ u okviru vojne obaveštajne službe GRU biti formirana samo godinu dana kasnije, početkom 2005. Ova hakerska grupa je danas poznata kao „Sandworm“ i „Iridium“, a tereti se za napade na ukrajinske sisteme za prenos električne energije 2015. i 2016, cyber napad na Zimske olimpijske igre u Južnoj Koreji 2018, te nove napade na kompjuterske mreže u Ukrajini nakon početka ruske agresije 2022.

Američko ministarstvo pravde i FBI su 2020. godine raspisale crvenu poternicu za šest najviših oficira službe GRU, za koje se veruje i da su ključni ljudi ove hakerske grupe.

Izvor: Al Jazeera