Teoretické základy a první experimenty
Historie malwaru začíná dlouho před tím, než se první škodlivé programy objevily v praxi. V 60. letech 20. století se matematik a účastník projektu Manhattan (vývoj jaderných zbraní) John von Neumann zabýval možností replikování a šíření počítačového programu napříč systémem a vyvíjel koncept takového programu. Jeho práce „The Theory of Self-Reproducing Automata“ vytvořila základ pro budoucí vznik virů.
Teprve v roce 1971 vzniká první skutečný replikující se program určený k experimentům v síti – „Creeper worm“, jehož autorem byl Bob Thomas a byl určen pro síť ARPANET. Tento červ pouze zobrazoval zprávu „I'm the creeper, catch me if you can!“. Malware to ještě nebyl, protože neškodil. Ukázal však potenciál pro automatizované šíření kódu.
První velký kybernetický incident: Morrisův červ
Skutečná škodlivost těchto programů byla demonstrována až v roce 1988. Morrisův červ, sestavený studentem Robertem Morrisem, nebyl původně vytvořen se zlým úmyslem, ale jen jako technický koncept. Červ využíval zadní vrátka v unixových systémech a byl koncipován tak, aby zůstal skrytý. Efekt byl masivní: V době, kdy bylo k internetu připojeno přibližně 60 000 počítačů (hlavně univerzity a armáda), dokázal infikovat 10 % všech zařízení. Červ se nejen šířil sítí, ale dokázal se sám opakovaně duplikovat na jednom stroji, což vedlo ke spotřebě paměti až k zastavení provozu počítače. Škody se odhadují na miliony dolarů, Morris se navíc stal prvním člověkem odsouzeným za kybernetický podvod v USA.
ILOVEYOU a nástup sociálního inženýrství
Přelomové období nastalo v květnu 2000, kdy student Onel de Guzman vypustil makrovirus ILOVEYOU. Ten pomocí podvodných e-mailových příloh, pojmenovaných ILOVEYOU, infikoval počítače. Jakmile zvědavý uživatel otevřel přílohu, virus se spustil, začal přepisovat klíčové soubory a automaticky se rozeslal na všechny kontakty v adresáři. Kromě masového šíření dosáhl na krátkou dobu i na servery britského parlamentu. ILOVEYOU je dodnes učebnicovým příkladem sociálního inženýrství v kyberbezpečnosti.
Trojský kůň Zeus a éra modulárních útoků
V roce 2007 přichází zásadní zlom. Virus Zeus infikoval počítače prostřednictvím phishingových kampaní a pomocí stažení z podezřelých webových stránek. Vynikl tím, že dokázal skrývat svou aktivitu pod maskou legitimních programů. Jakmile je trojský kůň spuštěn, otevře zadní vrátka a umožní krádež dat, hlavně však slouží jako platforma pro další typy útoků. Sofistikovanost útoků rostla, objevily se první formy ransomwaru a trojské koně obecně začaly hrát roli v prolnutí těchto typů útoku – šifrování dat a požadavek výkupného se staly novým modus operandi útočníků.
Vývoj modulárního a polymorfního malwaru reprezentuje Emotet. V každém cyklu šíření mírně pozměnil svůj kód, takže antivirům znesnadnil rozpoznání jeho přítomnosti. Emotet se rozšířil zejména prostřednictvím phishingových e-mailů a jeho efekt byl multiplikován schopností šířit další typy škodlivého softwaru. Stejně jako Zeus i Emotet sloužil jako vstupní brána pro následné kybernetické útoky.
Mirai a ransomware s geopolitickým dopadem
Rok 2016 přinesl zásadní rozšíření v podobě Mirai botnetu, který vytvořil student Paras Jha. Mirai zneužíval slabě chráněná periferní zařízení internetu věcí, a to zejména bezpečnostní kamery. Botnet ovládl tisíce zařízení, která následně sloužila k amplifikaci útoků na servery (DDoS) a masivní kybernetické špionáži. Obrovské množství infikovaných připojených zařízení ukázalo, jak zásadní roli bude hrát bezpečnost v éře IoT.
Rok 2017 znamenal další zlom v oblasti kybernetických útoků sponzorovaných státy a virtuální špionáže kvůli ransomwaru Petya šířícím se prostřednictvím phishingu. Nebezpečná však byla zejména jeho modifikace NotPetya připisovaná ruské rozvědce. NotPetya se tvářil jako běžný ransomware, ale nedával postiženým žádnou šanci na dešifrování a obnovu dat. I po zaplacení výkupného byla data nenávratně ztracena.
Nezávisle na tom ve stejném roce zaútočil červ WannaCry. Ten kombinoval nezáplatované exploity s rychlým šířením a odhaduje se, že během několika hodin postihl více než 300 000 počítačů ve 150 zemích. Výpadky systémů, šifrování dat a nutnost platit výkupné se staly závažným rizikem nejen pro firmy, ale i pro celé sektory kritické infrastruktury.
Současné hrozby: malware v éře IoT, cloudu a mobilních zařízení
Dnešní malware je extrémně variabilní a účinný. Útočníci využívají slabin v cloudových službách, mobilním softwaru i síťových protokolech. Vznikají botnety, které zneužívají IoT zařízení (Eleven11bot), ransomware zacílený na cloudová úložiště i útoky zaměřené na hybridní (cloud/on-premise) infrastruktury.
Zároveň roste sofistikovanost malwaru. Využívá zranitelnosti zero-day, dokáže obejít tradiční obranné technologie a kombinuje automatizované i cílené metody infiltrace. Firmy čelí tlakům jak ze strany kriminálních skupin, tak v rámci globální konkurence i ze strany států.
Jak se proti malwaru bránit?
Základem je rozvoj a používání pokročilých metod ochrany (antivir, antimalware, firewall). Firmy samy by měly provádět pravidelné aktualizace softwaru, aplikací i operačního systému, které eliminují zranitelnosti. Doporučuje se nasadit systémy pro detekci anomálií (IDS/IPS), behaviorální analýzy, sandboxing, monitoring síťového provozu a automatizované reakce na incidenty.
Velkou roli hraje bezpečné chování uživatelů a vzdělávání zaměstnanců, dokonalá správa přístupových práv, větší důraz na segmentaci sítí a pravidelné audity. Rostoucí význam má i spolupráce s externími dodavateli kyberbezpečnostních služeb, kteří dokážou reagovat na nové hrozby velmi rychle.
Výhled do budoucnosti
Malware se bude nepochybně vyvíjet i v dalších letech. Umělá inteligence umožní generovat nové typy útoků a kvantové počítače zase mohou zásadně změnit způsob šifrování dat i průběh kybernetických konfliktů.
Firmy, které vsadí na proaktivní strategii, pravidelný monitoring, aktualizaci obranných systémů a aktivní vzdělávání všech zaměstnanců, budou lépe připravené čelit dalším vlnám malware útoků.
Nejnovější trendy, odborné články a inspirativní podcasty najdete na O2 CyberNews.
