Viruskonst

För ungefär en vecka sedan rapporterade flera medier om ett nytt sorts konststycke som sålts på auktion. [Aftonbladet, Business Insider, etc]. Stycket som var ute till försäljning var en bärbar dator som innehöll sex datorvirus som alla skapat stor skada på internet sedan de släpptes. Dessa sex virus var: Iloveyou, SoBig WannaCry, BlackEnergy, , Darktequila och MyDoom. Konstverket är döpt till “The Persistence of Chaos” och är “skapat” av Guo O Dong. https://thepersistenceofchaos.com/

Istället för att prata om varför en sådan dator skulle vara värd över en miljon dollar (som auktionen tydligen slutade på) använder vi denna nyhet som en anledning till att göra en snabb djupdykning (det vill säga en grund-dykning?) i historien om dessa datorvirus.

Iloveyou

Ett datorvirus som släpptes runt år 2000, och agerade som en internetmask (ett program som gräver sig fram från dator till dator inom ett nätvärk – som en mask). Namnet “Iloveyou” kommer från sättet som viruset spreds: Den angripne fick ett mail med rubriken “ILOVEYOU” och en bifogad fil med namnet “LOVE-LETTER-FOR-YOU.txt.vbs”.

Windowsanvändare som öppnade dokumentet råkade omedvetet starta ett Visual basics-skript som skrev över och förstörde slumpmässigt utvalda filer i datorn och använde även adressboken i Outlook för att skicka vidare samma mail till alla användarens kontakter.

Detta virus bredde mest ut sig mellan företag, vilket innebar att användarnas kontakter ofta var ens kollegor. Tydligen var folk hoppfulla om hitta kärlek på jobbet, för viruset spred sig snabbt. Inom loppet av några timmar hade viruset spridit sig över hela världen. För att få stopp på spridningen stängde flera myndigheter och organisationer ner sina mailservers, däribland Pentagon, CIA, och Brittiska parlamentet.

Två filippinska män anklagades senare på sannolika grunder för att vara upphovsmän till viruset (en av dem hade till och med försökt skriva en avhandling om hur man kan nå ekonomisk framgång genom att använda sig av datorvirus), men de fälldes aldrig för något brott eftersom det inte fanns några specifika lagar mot dataförstörelse i Filippinerna på den tiden. Lagboken har tydligen alltid haft svårt att hinna med i datorns utveckling.

Referenser:
https://web.archive.org/web/20080206114348/http://www.acpf.org/WC8th/AgendaItem2/I2%20Pp%20Gana%2CPhillipine.html
https://web.archive.org/web/20070923005429/http://news.zdnet.com/2100-9595_22-520435.html

Sobig

Nästa på listan är ett virus som upptäcktes 2003. Även detta virus spreds via email, ursprungligen med big@boss.com som avsändare – vilket troligtvis förklarar virusets namn. Internetleverantören AOL i USA upptäckte enligt uppgift att över hälften av de 40 miljoner mailen som de skannade runt virusets utbrott var infekterade.

Viruset släpptes i flera varianter, där varje ny version kom med nya förbättringar som gjorde dess spridning mer och mer effektiv. Den mest framgångsrika versionen var Sobig.F som spreds genom att skanna en infekterade dators hårddisk efter potentiella email-adresser, och skicka mail till dessa adresser med en bifogade infekterad fil som döpts till samma namn som en slumpmässigt utvald fil på den infekterade datorn. Detta innebar att de som fick mailet troligtvis var bekanta med avsändaren, och med en ökad chans att filnamnet på den bifogade filen var något som var rimligt för avsändaren att skicka.

Utöver att reproducera sig över hela internet laddade viruset även ner en fil från en viss html-länk vilket kunde ge angriparen full kontroll över den infekterad datorn.

Referenser:
http://virus.wikidot.com/sobig
http://edition.cnn.com/2003/TECH/internet/08/21/sobig.virus/index.html

MyDoom

MyDoom-viruset släpptes år 2004, och är tydligen fortfarande det snabbast spridande viruset som skapats. Till skillnad från flera andra av virusen på denna lista så gick detta virus inte ut på att förstöra eller övervaka den infekterade datorn. Istället användes alla de infekterade datorerna, utan datorägarnas vetskap, till en så kallad DDoS-attack mot företaget SCO group – ett företag som var inblandat i flera kontroverser och anklagade olika Linux-utvecklare för att använda deras licensierade källkod. En DDoS-attack (Distributed Denial of Service) går ut på att hindra normal användning av ett system, till exempel genom att skicka så mycket data till offret så att dess system blir överbelastat och kollapsar.

Även detta virus spreds via emails, med en bifogad infekterad fil tillsammans med texten: “The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.” Då en användare klickade på filen laddades viruset ner i datorn, och skickade vidare samma mail till offrets alla kontakter. Eftersom viruset inte gjorde någon skada på de infekterade datorerna så kan man tänka sig att det inte var lätt att upptäcka om ens system blivit infekterat.

Namnet Mydoom kommer från en av de som upptäckte viruset (en anställd på datasäkerhetsföretaget McAfee) som hittade strängen “mydom” i viruskoden, och då han gissade att viruset skulle bli allvarligt tyckte han att doom (undergång) var en passande modifiering.

Refenser:
https://www.newsweek.com/more-doom-131157
https://www.cnet.com/news/new-virus-infects-pcs-whacks-sco/

BlackEnergy

Detta virus använde sig av “spear phising”-attacker för att spridas. Phising (eller nätfiske) är ett sätt att försöka lura till sig känslig information. ”Spear phising” är en variant på detta när angriparen använder information som är specifikt inriktat mot den som ska angripas. I detta fall användes specifik information riktad mot vissa användare för att övertyga de tilltänka offren att de email de fått var legitima och därmed våga lita på att de bifogade filerna de fått inte skulle vara infekterade – vilket de såklart var.

Första versionen av Blackenergy släpptes runt år 2007, och användes då mest som ett instrument för DDoS-attacker, men mer avancerade versioner har släppts sedan dess. Anledningen till att detta virus kvalificerade sig till denna lista är dock troligtvis på grund av den tredje versionen av Blackenergy som släpptes 2014. Denna tredje version användes nämligen i riktade anfall för att skapa ett strömavbrott i Ukraina 2015. Attacken bestod av flera delar; bland annat förstördes flera komponenter i olika IT-system, och informationssidorna för elkunderna togs ner (genom en DDoS-attack) för att skapa förvirring och osäkerhet bland befolkningen.

De flesta är övertygade om att denna attack var kopplad till Rysslands militära intrång i Ukraina, och det är inte första (eller sista) gången som nationer använder datavirus för krigsföring. Ett annat exempel är viruset Stuxnet som i början av 2010-talet påverkade och gjorde stor skada för Irans kärnkraftprogram. Vem skaparen av detta virus var låter vi bli att spekulera i.

Darktequila

Detta är ett virus som enligt källor har funnits ute på internet sedan 2013, och är speciellt då det anses mycket mer sofistikerat än de andra virusen på denna lista. Till exempel kan viruset känna av om ett potentiellt mål har aktiva antivirusprogram och då välja att inte infektera målet.

Ett av sätten viruset sprider sig på är via USB-stickor som potentiella offer kan ha plockat på sig från mässor eller liknande. När USB-stickan kopplas in i en dator laddas ett program ner utan användarens vetskap och ligger dolt utan att användaren upplever några problem med datorn. Istället skannar viruset efter information genom keyloggers (program som loggar knapptryck på tangentbordet) och dylikt för att kunna spara exempelvis inloggningsuppgifter för olika tjänster (så som Dropbox).

Viruset sprids sedan vidare när en användare stoppar in en USB-sticka i ett infekterat system eftersom viruset då lägger över en kopia av sig självt dolt på USB-stickan. På så sätt kunde offrets vänner och kollegor bli infekterade, och eftersom viruset inte lämnar några tydliga spår (precis som MyDoom) är det svårt att stoppa spridningen.

Referenser:
https://thenextweb.com/security/2018/08/21/dark-tequila-is-a-sophisticated-banking-malware-targeting-victims-in-mexico/

WannaCry

Det sista viruset i listan är från maj 2017, och även om inget definitivt svar finns är de flesta övertygade om att Nordkorea ligger bakom det. Viruset är ett så kallat ransomware – ett program som kräver en lösensumma för att den angripne antingen ska återfå data eller för att stoppa data från att förstöras/exponeras. Tillvägagångssättet för just detta virus var att kryptera hela den infekterade datorns hårddisk och i och med det göra all data på datorn oläslig för användaren. Angriparna krävde sedan en summa pengar i form av bitcoins för att dekryptera och därigenom återskapa alla filer och all information på datorn.

En anledning till att detta virus blivit så välkänt är troligtvis på grund av historien bakom säkerhetsbristen som viruset använde för att sprida sig och infektera sina offer. Viruset använde en svaghet i Microsofts implementering av SMB-protokollet (Server Message Block-protokollet – ett protokoll för fildelning och andra sorters kommunikationer mellan olika noder i ett nätverk). Tydligen hade denna svaghet upptäckts av NSA (National Security Agency) långt tidigare men istället för att berätta detta för Microsoft, valde de att hemlighålla bristen för att själva kunna utnyttja den i deras arbete. Denna exploit, som gick under namnet EternalBlue, läcktes dock i början av 2017 av en hackergrupp, och bara någon månad senare användes den av WannaCry-viruset.

NSA hade dock, efter att de insett att informationen läckt, berättat för Microsoft om svagheten, och en uppdatering av SMB-protokollet hade släppts innan WannaCry-viruset började spridas. Detta var en av anledningarna till att viruset inte fick så stor spridning – de enda utsatta systemen var de som inte hade uppdaterat i tid, och de äldre systemen som inte längre patchades.

En notering här är också att vem som helst kan råka ut för datavirus. Om man tittar i Wikipedias lista på infekterade organisationer hittar vi bland annat Timrå kommun – även om de nog aldrig var det tilltänka offret för just detta virus.

Referenser:
https://en.wikipedia.org/wiki/WannaCry_ransomware_attack
https://www.wsj.com/articles/its-official-north-korea-is-behind-wannacry-1513642537https://www.washingtonpost.com/business/technology/nsa-officials-worried-about-the-day-its-potent-hacking-tool-would-get-loose-then-it-did/2017/05/16/50670b16-3978-11e7-a058-ddbb23c75d82_story.html?noredirect=on&utm_term=.cb74784c4f42

Avslutning

Lärdomarna vi kan dra från dessa olika virus är många. Exempelvis:

• Var aktsam med din emailinkorg, och öppna inte bifogade filer från misstänkta email.
• På allvar. Öppna inte bifogade filer från misstänkta emails  – även om de innehåller kärleksförklaringar.
• Misstänk även mail från vänner och kollegor om något verkar konstigt.
• Håll dina system uppdaterade eftersom nya brister med tillhörande lösningar utkommer ofta.
• Var varsam med okända USB-stickor och annan hårdvara du kan koppla in i din dator.
• Och slutligen, öppna inte bifogade filer från misstänkta emails. Det går inte att vara nog tydligt med detta. Enligt listan ovan verkar det inte räcka med bara ett varningsexempel.

Som avslutning måste bloggförfattaren erkänna att han ofta har svårt att förstå värdet i vissa konststycken. Men det kanske är meningen. Konst är ju konstigt.