ILOVEYOU: ویروسی که همه را دوست داشت

۱۴۰۱/۵/۱۸امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بیایید برگردیم به تاریخ ماه می سال 2000. یک روز عادی در اداره: کامپیوترتان را روشن می‌کنید، به اینترنت وصل می‌شوید و آخرین ایمیل موجود در کلاینت Microsoft Outlook را دانلود می‌کنید. بلافاصله متوجه پیامی با موضوع عجیب «دوستت دارم» می‌شوید. فردی که می‌شناسید به عشقش به شما اعتراف کرده؛ دوست دوران مدرسه یا نه.... بهتر از آن: سوپروایزر قدیمی‌تان! هر کسی که باشد، قطعاً این پیام چشم شما را خواهد گرفت پس روی فال پیوست کلیک می‌کنید؛ نام فایل LOVE-LETTER-FOR-YOU.TXT.VBS است و .... به نظر هیچ اتفاقی نیافتاده است. اما کمی بعد پی خواهید برد که داکیمنت مهم شما در هارد دیسک به طور جبران‌ناپذیری خراب شده است و کلی هم پیام عاشقانه از طرف شما برای بقیه –هر چه مخاطب در لیست دفترچه تلفن گوشی خود داشتید- ارسال شده!

در واقع ILOVEYOU اولین بدافزاری نبود که از حفره امنیتی در کلاینت ایمیل مایکروسافت سوءاستفاده می‌کرد اما مطمئناً یکی از جدی‌ترین شیوع ویروس را در آغاز هزاره‌ی جدید به راه انداخت. در ادامه با ما همراه شوید تا نگاهی بر تاریخچه آن انداخته و توضیح دهیم چطور درک ما را از امنیت سیستم کامپیوتری تغییر داد.

زمینه موضوع: اینترنت، رایج‌ترین نوع فناوری است

سال 2000 که خیلی از آن می‌گذرد گویی دوران ماقبل تاریخ بود. امروز می‌توانید به کپی آرشیوشده‌ی وبسایت‌های آن زمان‌ها نگاهی بیاندازید یا لپ‌تاپ ویندوز 98 خود را از گنجه درآورید تا یادتان بیاید در آن عصر حجر از چه برنامه‌هایی استفاده می‌کردیم. البته فناوری‌ای که با آغاز هزاره جدید آمد آن زمان بسیار پیشگامانه بود و فقط در مقایسه با استانداردهای امروزی پیش پا افتاده به نظر می‌رسد. بیشتر کاربران با مودم به اینترنت وصل می‌شدند که سرعتش هم به طرز وحشتناکی پایین بود. اما نمونه‌های اولیه تقریباً هر سرویس شبکه مودم از پیش در آن زمان وجود داشتند. استریم ویدیویی وجود نداشت اما استریم رادیویی بود. همچنین طیف گسترده‌ای از مسنجرهای آنلاین وجود داشت. تجارت اینترنتی با سرعت سرسام‌آوری در حال توسعه بود گرچه آن زمان راحت‌تر بود که به جای گذاشتن سفارش در وبسایت زنگ بزنند به فروشگاه برایشان کالای مورد نظر را بیاورند. به طور کلی در سال 2000 هر فناوری شبکه یا سرویسی که پیشوند e داشت (به معنای الکترونیکی) کلی مورد توجه قرار می‌گرفت و رویش سرمایه‌گذاری می‌شد. اما در سال 2001 وقتی که بسیاری از استارت‌آپ‌ها ورشکسته شدند این مسئله با شکست روبرو شد و صنعت مذکور دیگر آن تب و تاب سابق را نداشت. یکی از شاخص‌های مهمی که نشان می‌دهد اینترنت در آن زمان چقدر گسترده بود، انتشار فیلم محبوب Youve Got Mail در سال 1998 است که نصف رام_کام[1] و نصف تبلیغاتی برای شرکت معروف آن زمان به نام  America Online.

در پایان دهه 1990، اینترنت دیگر مکانی برای افراد ممتاز نبود: در سال 2000، صدها میلیون نفر آنلاین بودند. به این ترتیب، ایمیل ابزار مهمی برای ارتباط و همکاری در بسیاری از شرکت‌ها و سازمان‌های دولتی و همچنین برای کاربران عادی خانگی به حساب می‌آمد. اما در ماه می 2000، این "تحول دیجیتالی"، همانطور که خیلی دیرتر به آن معروف شد، به طور ناگهانی با شیوع ویروس ILOVEYOU متوقف گشت. بسیاری از شرکت ها که به سادگی قادر به مقابله با جریان ده ها هزار پیام عاشقانه نبودند مجبور شدند به طور موقت سرورهای ایمیل خود را تعطیل کنند.

پیشینیان: Concept.B و Melissa

بگذارید دقیق‌تر بگوییم، ILOVEYOU در رده‌بندیِ کرم شبکه قرار می‌گیرد: این یک برنامه‌ی مخرب است که خود را در شبکه پخش می‌کند. یکی دیگر از ویژگی‌های کلیدی ILOVEYOU این بود که عفونت اولیه با یک برنامه ساده VBscript ایجاد شد. VBscript، به نوبه خود، بر اساس ایده حتی قدیمی‌تر ماکروها ساخته شده است: اساساً، ماکروها برنامه‌های ساده‌ای هستند که به شما امکان می‌دهند اقدامات خاصی را خودکار کنید - به عنوان مثال، کار با داکیومنت‌ها را اتومات کنید. اغلب ماکروها برای انجام محاسبات پیچیده در صفحات گسترده مانند مایکروسافت اکسل استفاده می‌شوند. از زمان‌های قدیم، ماکروها در مایکروسافت ورد نیز پشتیبانی می‌شدند، به عنوان مثال، برای تولید خودکار گزارش از داده‌های وارد شده در یک فرم. در سال 1995، این قابلیت Word توسط ویروس WM/Concept.A مورد سوء استفاده قرار گرفت. این ماکرو ویروس داکیومنت‌های مایکروسافت ورد را آلوده کرده و این پیام را هنگام باز شدن داکیومنت نشان می‌دهد:

و همین. هیچ عملکرد مخربی نداشت بلکه تنها پنجره‌ای آزاردهنده بود که مدام پاپ‌آپ می‌شد. استیون سینوفسکی کارمند اسبق مایکروسافت که مسئول توسعه راهکارهای اداری این شرکت از سال 1998 تا 2006 بود در خاطرات خود از Concept.A بعنوان اولین نشانه‌ها یاد می‌کند: آن زمان پی بردیم که اتوماسیون بکاررفته در همه راهکارهای مایکروسافت می‌تواند اکسپلویت شوند. در نتیجه تصمیم بر آن شد که پیش از اجرای ماکروها هشداری نمایش داده شود: این داکیومنت حاوی یک برنامه است؛ آیا مطمئنید می‌خواهید اجرایش کنید؟ به محض اینکه مایکروسافت شروع کرد پیاده‌سازی محدودیت‌ها روی اجرای ماکرو، نویسندگان بدافزار شروع کردند گشتن به دنبال راه‌هایی برای دور زدن این محدودیت‌ها. رخداد مهم بعدی در مارس 1999 رخ داد. استیون سینوفسکی چگونگی آن را توضیح داد: وقتی ایمیل خود را بررسی می‌کنید، پیامی با یک فایل پیوست و خط موضوع "پیام مهم از ..." دریافت می‌کنید.

و سپس یکی دیگر از سمت فرستنده‌ای دیگر. و یکی دیگر. و سپس ایمیل از کار افتاد: حتی سرور ایمیل مایکروسافت نیز نمی‌توانست لود را تحمل کند. این کرم اینترنتی نامش Melissa بود. داکیومنت Microsoft Word پیوست شده حاوی کد مخربی بود که پیامی را از طریق Microsoft Outlook به 50 مخاطب اول در دفترچه آدرس ارسال می‌کرد.

همه‌اش به عشق برمی‌گردد

کرم ILOVEYOU تکامل ایده‌های بکاررفته در ملیسا بود که شاید هیچ آسیب‌پذیری در محصولات مایکروسافت را اکسپلویت نکرد اما در عوض از این قابلیت استاندارد استفاده کرد. تنها باگ این بود که هیچ هشداری موقعی که اسکریپت از کلاینت ایمیل Outlook اجرا می‌شد نمایش داده نمی‌شد. قابلیت این کرم فقط به ارسال پیام‌های عاشقانه به همه دریافت‌کنندگان محدود نمی‌شد. علاوه بر ارسال اسپم ایمیل به جای قربانی همچنین قادر بود از طریق مسنجر IRC که آن زمان خیلی معروف بود خود را توزیع کند. علاوه بر این، کرم ILOVEYOU یک برنامه تروجان را دانلود کرد که رمزهای عبور ایمیل و دسترسی به اینترنت را برای سازنده بدافزار ارسال می‌کرد. در نهایت، فایل‌های روی هارد دیسک حذف، مخفی یا خراب شدند: موسیقی با فرمت MP3، تصاویر JPEG، انواع اسکریپت ها و کپی از صفحات وب. مغز متفکر پس از شیوع ILOVEYOU با ترکیب پیشرفت‌هایی که از ویروس‌های ماکرو قبلی حاصل شده بود دست به طراحی ترفند مهندسی اجتماعی نهایی زد (چگونه کسی می‌تواند فایلی با نام "I love you" را نادیده بگیرد؟)، عملکردهای مخرب اضافه کرد و از انتشار خودکار بدافزار حداکثر استفاده را نمود. به دنبال گزارشات کسپرسکی و پوشش‌دهی رسانه‌های آن زمان این امکان وجود داشت که بشود توالی رخدادها را بازسازی کرد. روز اول –4 می- هزاران آلودگی سیستم شناسایی شد. 9 می تعداد 2.5 میلیون کامپیوتر آلوده گزارش شد بدین‌معنا که ده‌ها میلیون ایمیل در جهان داشت ارسال می‌شد.

سازنده ویروس حتی سعی نکرد کدهای مخرب را تحت پوشش یک داکیومنت اداری پنهان کند. نام فایل "LOVE-LETTER-FOR-YOU.TXT.VBS" از این واقعیت سوء استفاده می‌کند که کلاینت‌های ایمیل مایکروسافت تنها قسمت اول یک نام طولانی را نشان می دهند، همانطور که در تصویر صفحه در ابتدای مقاله مشاهده می‌شود. کد داخل در قالب باز بود و به زودی بسیاری از کلاهبرداران ماهر از آن برای ایجاد انواع مختلف کرم اینترنتی استفاده کردند. به جای ILOVEYOU، کلمات دیگری در خط موضوع ظاهر شد، از جمله هشدارهای ویروسی خودسر. نوع NewLove که در 19 می شناسایی شد، فایل‌ها را به‌طور انتخابی حذف نکرد، اما تمام اطلاعات روی هارد دیسک را کاملاً پاک نمود. برآوردهای نهایی از تأثیر ویروس ILOVEYOU به شرح زیر است: تا 10٪ از کامپیوترهای متصل به اینترنت آلوده شدند و کل خسارت، از جمله اقدامات مخرب انواع آن، حدود 10 میلیارد دلار برآورد شده است. این رویداد به طور گسترده توسط مطبوعات پوشش داده شد و حتی جلساتی در سنای ایالات متحده برگزار گشت.

اشتباهاتی شده بود

در سال 2022 شاید فرد که کل داستان را از اول تا آخرش می‌داند بپرسد: نمی‌شد از همان اول جلوی شیوع چنین ویروس جزئی را گرفت؟ نه تا تاریخ 8 ژوئن سال 2000 که مایکروسافت برای کلاینت ایمیل Outlook خود آپدیت امنیتی بزرگی منتشر کرد. در این آپدیت در نهایت محدودیت‌هایی روی اجرای اسکریپت‌ها اعمال شد. همه پیوست‌های ایمیل به طور پیش‌فرض غیرقابل‌اطمینان شناخته شدند و اگر اپلیکیشن خارجی به دفترچه آدرس Outlook دسترسی داشت یا سعی داشت یکجا چند ایمیل را ارسال کند بررسی‌هایی صورت می‌گرفت.

آنها این کار را زودتر انجام ندادند، زیرا هنگام انتخاب بین امنیت و راحتی، مایکروسافت دومی را ترجیح می‌داد. و همینطور کاربران. در سال 1995، زمانی که مایکروسافت یک هشدار ساده در مایکروسافت ورد معرفی کرد ("این سند حاوی ماکروها است")، شرکت بازخورد منفی از مشتریان دریافت کرد. در برخی از شرکت‌ها، این تصدیق اضافی، فرآیندهای داخلی ساخته شده بر روی اسکریپت‌ها را از بین برد. به همین دلیل، حتی در هنگام توسعه یک پچ در پی ILOVEYOU، این سوال مطرح می شود که "آیا قرار است کاربران را معذب کند؟" در دستور کار قرار داشت، اما این بار از قبل مشخص بود که امنیت باید باید ارتقا داده شود (چه به مذاق کاربر خوش بیاید چه نه).

ویروس قدیمی، مشکلات مدرن

اپیدمی ILOVEYOU سوالات زیادی را بوجود آورده که امروزه هنوز در زمینه امنیت اطلاعات مطرح است. به نظر می‌رسد مهم‌ترین مورد این است: آیا نمی‌توانیم پچ‌ها را سریع‌تر ارسال کنیم؟ قطعا مشکلاتی در این مورد وجود داشت: مایکروسافت بیش از یک ماه پس از شروع شیوع، کیت پچ را برای Outlook منتشر کرد. همچنین، مکانیسم‌های تحویل خودکار برای این به‌روزرسانی‌ها ابتدایی بود، بنابراین شیوع محلی آلودگی مدت زیادی طول کشید تا متوقف شود. صنعت راهکارهای امنیتی از قبل، در این خصوص سودرسانی خود را نشان داده بودند. به نقل از یوجین کسپرسکی: محافظت از کاربران آنتی‌ویروسی شرکت کار سختی نبود. حتی آن زمان در حوزه نرم‌افزار امنیتی سیستم ارسال آنلاین برای آپدیت‌های معمول معرفی شد گرچه چند سال دیگر طول کشید تا توسعه‌دهندگان سایر انواع برنامه‌ها بخواهند برنامه مشابهی برای توزیع سریع پچ اتخاذ کنند. کمی بعد، روش‌های تحلیل اکتشافی برای شناسایی و مسدود کردن خودکار حتی اسکریپت‌های مخرب ناشناخته توسعه یافتند. اگرچه امنیت برنامه‌ها و سیستم‌عامل‌های محبوب در 22 سال گذشته بسیار بهبود یافته اما سازندگان بدافزار مدام به یافتن حفره‌های جدید برای حملات سایبری موفق می‌پردازند. ماکروهای مخرب نیز چندان پیشرفتی نکردند. در فوریه 2022، مایکروسافت قول داد که در نهایت توانایی توزیع آنها را با ممنوع کردن اجرای هر گونه اسکریپت در داکیومنت‌های آفیس که از طریق اینترنت به دست آمده‌اند محدود کند. در اوایل ژوئیه 2022، این ممنوعیت برداشته شد - منطقی است که فرض کنیم ترس از ایجاد مشکلی از سمت کاربر به حقیقت پیوست. بعداً در همان جولای، مایکروسافت یک بار دیگر تصمیم گرفت به طور پیش فرض مسدود کردن ماکروها را آغاز کند و این بار به افراد نیازمند توضیح دهد که چگونه این ممنوعیت را دور بزنند.شیوع‌های کمتری در مقیاس بزرگ وجود دارد که در آن یک بدافزار به ده‌ها یا صدها میلیون رایانه سرایت می‌کند، اما هنوز نمی‌توانیم به طور کامل از آنها جلوگیری کنیم. چیزی که قطعاً تغییر کرده است، نحوه کسب درآمد از حملات سایبری، گرو گرفتن داده‌های شرکت و کاربران و درخواست باج است.

اجازه بدهید داستان خود را با خلاصه ای کوتاه از زندگی سازنده کرم اینترنتی ILOVEYOU به پایان برسانیم. اونل دی گوزمن در زمان این اپیدی دانشجوی 24 ساله‌ای بیش نبود. سال 2000، مقامات FBI توانستند تشخیص دهند پیام های اصلی حاوی کرم به لیست‌های پستی محبوب برای کاربران فیلیپین، جایی که دی گوزمن هنوز در آن زندگی می‌کند، ارسال شده است. در سال 2000، او در فهرست نویسندگان مشکوک ILOVEYOU قرار گرفت. اما به دو دلیل مجازات نشد: فقدان شواهد و عدم وجود ماده کیفری برای جرایم سایبری در قوانین محلی آن زمان.

در سال 2020، دو گوزمن توسط روزنامه نگاران ردیابی شد. او به آنها گفت که ILOVEYOU در اصل یک قابلیت ارسال انبوه برای دفترچه آدرس Outlook را نداشته و این کرم را برای سرقت رمزهای عبور جهت دسترسی به اینترنت ایجاد کرده (زیرا توانایی پرداخت هزینه آن را نداشت!). دی گوزمن هرگز نتوانست از هوش سیاه خود درآمدزایی کند. آن زمان که این مقاله منتشر شد او در یک تعمیرگاه ساده تلفن در مانیل مشغول به کار بود.

 

 

[1]Rom-com ژانر فیلم که ترکیبی است از عاشقانه و کمدی.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.