Червяк длиною в 10 лет.

Previous Entry Поделиться Next Entry
15 июня, 2014
e_kaspersky
Всё началось вот с этих вот гаджетов (тогда их называли «девайсы»). Тогда они были пределом мечтаний каждого уважаемого хипстера :) И именно на них мы в чисто научных целых спасения мира анализировали первого мобильного зловреда. Он был обнаружен 15 июня 2004 г. в 19:17 по московскому времени, т.е. ровно 10 лез назад от момента публикации этого самого поста.

image

Это был Cabir, червяк для Symbian, расползавшийся по другим мобилкам через Bluetooth и даже успевший через год после появления, в августе 2005, вызвать локальную эпидемию на чемпионате мира по лёгкой атлетике в Финляндии :) Думаю, не стоит сейчас углубляться и рассказывать как далеко скакнула мобильная вирусология с тех пор. Лучше послушаем из «первых рук» широко известного анонимного вирусного эксперта А.Г. захватывающую историю как мы его задетектили, почему у нас в офисе появилась экранированная комната, кто стоял за Cabir'ом и вообще почему этого червя так назвали.

Ниже - интервью с нашего Интранета, лексика, пунктуация и всё остальное сохранены.

- Вирус Cabir появился на свет десять лет назад. Что тогда вообще было с вирусами под мобильные платформы?

- Их практически не было. Я хорошо помню один момент: в 2004 году у нас проходила международная пресс-конференция, во время которой один из журналистов спросил меня о том, когда появится первый вирус для мобильных телефонов. На что я ответил, что через год на следующем подобном мероприятии они уже будут. И угадал: буквально через несколько месяцев один из сменных вирусных аналитиков обнаружил некий непонятный файл неясно под какую платформу и попросил помощи у своего коллеги – Романа Кузьменко – с разбором этого подозрительного приложения. Кстати говоря, Рома среди всех наших вирусных аналитиков заметно выделялся умением анализировать самые необычные вещи и очень быстро. Он через пару часов вынес вердикт, что это вирус для платформы Symbian и ARM-процессоров. Такая комбинация существовала только на мобильных телефонах, а Symbian  вообще стояла только на устройствах Nokia. В тот момент сходу понять, что же делает вирус, было непонятно – необходимо было провести тестирование, для чего найти хотя бы один смартфон Nokia (в то время это было нелегко – такого уровня телефоны еще были редкостью). Тем временем в Вирлабе продолжали его анализировать и поняли его ключевые фичи – умение работать с Bluetooth и передавать файлы.

- То есть тогда у вас не было базы оборудования для тестирования мобильных вирусов?

- Именно. Так как Кабир был первым вирусом под мобильные телефоны, он стал некой отправной точкой, сигналом вирусописателям, что создавать вредоносный код под смартфоны тоже возможно. В течение года мы утвердились во мнении, что анализ мобильных угроз нужно выносить в отдельное направление, все же они заметно отличаются от компьютерных вирусов. Тогда был создан отдел по анализу мобильных угроз, который возглавил я. Затем ко мне присоединился Денис Масленников, мы ввели в практику покупку всех мобильных девайсов, которые даже теоретически могли бы быть атакованы вредоносным кодом. Тогда у нас появился весь набор Symbian-устройств, а также телефонов на базе Windows, BlackBerry и т.д. Мы и сейчас продолжаем раз в год докупать некоторые новинки в мобильной индустрии и откладывать, вдруг что появится новое, а нам не на чем будет это тестировать. Где-то наверняка хранится тот самый первый телефон или даже два, на которых мы тестировали первый мобильный вирус Кабир.

- Кстати, а почему его так назвали? Ведь на скриншотах на Securelist видно, что файл содержит другое название…

00_body2

- Ооо, это отдельная история! Как ты правильно заметила, автор этого вируса назвал его Caribe. Но в антивирусной индустрии не принято давать вирусам те имена, которые придумали их авторы, чтоб не потакать их самолюбию. Поэтому перед публичным упоминанием этого вируса нам нужно было изменить название. И как раз во время горячих обсуждений в комнату вошла наша коллега Елена Кабирова, мы решили, что ее фамилия созвучна имевшемуся имени вируса и предложили ей войти в историю, дав часть своей фамилии первому вирусу для мобильных телефонов. На такое предложение она не могла не согласиться :)

- Так, с именем разобрались. А теперь расскажи, как вы его обнаружили, если у вас не было таких телефонов?

- Как и многие другие вирусы – мы получили письмо, содержащее этот файл и ничего кроме файла, на традиционный адрес newvirus@kaspersky.com. Хотя даже имя отправителя уже давало понять, что задача перед нами стоит нетривиальная. Дело в том, что отправитель письма был нам более или менее известен, он числился в наших базах как один из не то чтобы вирусописателей, но людей, связанных с андеграундом. Он периодически присылал нам новые вирусы, создаваемые европейскими вирусописателями. Как правило, все присылаемые им вещи оказывались чем-то новым, уникальным. В тот момент мы еще не знали, что он отправил этот вирус одновременно в 5 или 6 антивирусных компаний, но мы стали единственными, кто смог понять сущность этого файла. В том, что дело серьезное, нас убедила репутация отправителя и строчки, содержащиеся в коде зловреда (Caribe и 29А). Мы поняли, что за созданием этого вируса стоит давно и печально известная международная группа вирусописателей под одноименным названием 29А.

- А что было дальше?

- После первоначального разбора вируса стало понятно, что для тестирования нужно 2 телефона на платформе Symbian, поскольку вирус передавал себя с одного телефона на другой с использованием Bluetooth. В конце концов нам это удалось, мы скопировали вирус на один телефон, включили на другом Bluetooth в режиме Discoverable Mode – и буквально моментально на этот второй телефон пришел запрос на прием файла. После загрузки и запуска файла уже и второй телефон начал автоматически  искать все доступные Bluetooth-устройства. Распространение вируса через Bluetooth было нами подтверждено - и тут уже в дело вступил Денис Зенкин, который написал пресс-релиз, повествующий миру о появлении первого вируса. Собственно, это было самым началом.

Кстати, это свойство вируса и его последующих модификаций доставило нам немало проблем в будущем. Все же мы находились не в вакууме, а в обычном офисе, за стенами и на других этажах тоже сидели люди, которые могли этот файл принять. Мы поняли, что ставим под угрозу заражения наших собственных коллег. Это и побудило компанию выделить отдельную экранированную железную комнату, в которой было разрешено проводить эксперименты с мобильными зловредами. В этой комнате полностью не работала мобильная связь, глушились любые коммуникации, все было сделано для того, чтобы вирус не вышел за пределы помещения. Эта железная комната была в здании РадиоФизики, где был наш офис, а затем и в Диапазоне на Октябрьском Поле. Эта комната была не только необходимым средством для тестирования мобильных вирусов, но и излюбленным аттракционом журналистов, куда их обязательно приводили. Сейчас же ландшафт мобильных угроз изменился, такого рода вирусы перестали существовать, так что необходимость в подобной комнате отпала.

- Ты говорил, что за созданием этого опасного вируса стояла некая группа вирусописателей. Чем она знаменита?

- Это самая легендарная группа вирусописателей в истории. Они создали гигантское количество передовых, уникальных вещей. Группа состояла из вирусописателей из разных стран мира, состав которых постоянно менялся, но был некий костяк - граждане Испании и Бразилии. Одним из них, человеком по имени, если мне не изменяет память, Велес и был создан Cabir. Вообще группа 29А по современным меркам не были киберпреступниками - они были вирусописателями и создавали свои вирусы с целью проверки, демонстрации новых вирусных технологий. Так что за их действиями стояли скорее идеологические мотивы, а не жажда наживы. Они были во многом первыми: они первыми создали первый макровирус для документов, первый вирус для платформы Windows 64 – каждое творение 29А было прорывом, который затем уже использовался другими вирусописателями, а затем уже киберпреступниками. Вообще на тот момент, в 2004 году, киберпреступность как таковая только начинала зарождаться. В тот момент большинство создаваемых вирусных программ относились скорее к хулиганскому классу, для того чтобы самовыразиться. Группа просуществовала где-то до 2009 года, хотя и раньше их активность заметно снизилась. Должен сказать, что часть членов группы была арестована в Испании, Бразилии и Чехии, а другая часть продолжает заниматься написанием вредоносных программ. Мы знаем это, потому встречаем знакомые кусочки кода, проявления их почерка.

- Ты упомянул о модификациях Cabir, какое же было продолжение у Cabir?

- Группа, создавшая Cabir, была известна не только своей продвинутостью, но и тем, что она издавала свой электронный журнал. И вот через несколько месяцев после появления Cabir на свет, они опубликовали информацию об этом черве вместе с участками исполнимого кода, спустя какое-то время модификации Cabir стали появляться каждую неделю. У нас был и особо жаждующий славы вирусописатель, который настойчиво присылал модификацию вируса с просьбой дать отдельное название. Он на протяжении года возвращался, пытаясь хоть как-то войти в историю мобильных вирусов, в конце концов он добился того, что одну из модификаций мы выделили в отдельное семейство.

- И опять об истории. Ты говорил, что только Лаборатория смогла проанализировать этот вирус и выпустить на его тему пресс-релиз. Откуда же в связи с именем Cabir взялось название F-Secure?

- Несмотря на то, что вирус был нами проанализирован, оказался в общем доступе и на его основе были модификации, сам Cabir умудрился устроить небольшую, но довольно громкую вирусную эпидемию. Дело в том что в Финляндии проходил чемпионат мира по легкой атлетике. А это значит: стадион, где много людей, приехавших из разных стран мира, радиус поражения Cabir вообще крайне невелик – радиус  действия Bluetooth около 20 метров. Дело усугублялось еще тем, что в Финляндии Nokia были очень популярными, так что Cabir легко попал на стадион в кармане одного из посетителей. И в то время пока по площадке бегали люди из разных стран, вирус бегал по трибунам, в конце концов достигнув телефона одного из сотрудников F-Secure. Антивирусная компания быстро сообразила поставить Bluetooth–scanner на стадионе, предлагая посетителям проверить, не заражены ли эти телефоном этим вирусом.

- Что же этот мобильный вирус делал, кроме того что размножался?

- Прямых финансовых убытков он не наносил, если ты об этом. Он довольно быстро разряжал телефон – за 2-3 часа, все же постоянный поиск Bluetooth-соединений - дело затратное. В денежном плане намного более опасным были последующие вирусы, которые помимо рассылки самого себя отправляли MMS-ки на платные номера. Так, известный вирус в Post-Cabir истории –  Comwario - вызвал эпидемию в одном из испанских городов, финансовый ущерб от которой оценили в несколько миллионов евро.

- Вот ты рассказал про вирусописателей из группы 29А, они в основном испаноговорящие. А что с российскими вирусописателями?

- Конечно, российских киберпреступников тоже есть за что вспомнить: например, кто-то из них создал первый мобильный вирус, который работал на Java и потому был более успешен, чем вирусы для Symbian. Поскольку Symbian был только на Nokia, а java работал на любых мобильных устройствах, не только на смартфонах, но и на обычных мобильниках, этот вирус был очень опасен. Часть полученных денег зачислялась на счет владельца короткого премиум-номера, который был собственно вирусописателем. И тут Россия оказалась впереди планеты всей, именно тут такие вирусы были опробованы, созданы. И Россия продолжает оставаться в числе лидеров именно в области мобильного мошенничества.

- Мы сегодня обсудили мобильные угрозы, способы их распространения и даже поговорили о хакерской группе. Но мы не затронули вопрос защиты мобильных платформ – с этим что? Неужели нам нечем было ответить?

- Ну почему же, еще до появления Cabir начали появляться вирусы под PalmOS, так что многие антивирусные компании разрабатывали защиту под эту платформу. Но в конце концов страсти утихли, новых вирусов не появлялось - и многие спрятали информацию об этих продуктах в закрома памяти. Мы же после обнаружения Cabir вспомнили про ту разработку, модифицировали ее и быстро предложили рынку в качестве антивируса для мобильных платформ. В общем, вирусов постепенно появлялось все больше, а мой прогноз, который я давал журналисту в начале 2004 года, оказался точным.

ig_kabir-compressor

Previous Entry Поделиться Next Entry
Статья интересна, но почему антивирус продается в таких огромных коробках, которые не влезают в портфели.
Не пора, придумать новую, не обычную, уникальную упаковку?
(и, да...я давно мечтаю о рюкзаке с логотипом Касперского).
Осуществите мою давнюю мечту.

Edited at 2014-06-15 16:10 (UTC)

самая правильная упаковка для антивируса - это отсутствие упаковки. Покупайте в интернет-магазине! )

Можно мне ответить?..
Размер коробки обычно определяется ретейлером. У нас коробки в России, Германии, Франции, итд - да, типа А4. А в США, Канаде, Японии - помельче.

Это не к нам вопрос. Это вопрос к местным сетям - как они хотят видеть продукт на полке. Большим или средним. ... Мелкие изделия обычно на кассе висят :)

Спасибо за ответ. С рюкзаком видимо никак не получается.

Аааа.... Рюкзак с логотипом..
Не поверите - я сам иногда такое хочу.... и облом!
Надо договариваться с теми, кто эти штучки заказывают и их потом туда-сюда раскидывают. Мне лично очень часто прикольненькое не достаётся... Ага.

> - Вот ты рассказал про вирусописателей из группы 29А, они в основном испаноговорящие. А что с российскими вирусописателями?

Как минимум два русскоговорящих там было.

Да, лучше еще рассказать про то, как руками Лаборатории Касперского был сдан и осужден Whale/29A, который пришел устраиваться на работу и вполне открыто (в ЛК, в отличие от постоянных публичных заявлений об обратном, работает немало людей с не просто "исследовательским" "хакерским" прошлым, а со вполне криминальным прошлым). Благо, справедливость восторжествовала и ему присудили всего 3000р.

Как раз в те же годы.

Edited at 2014-06-15 18:23 (UTC)

аа, ну теперь ясно, кто убил Кеннеди и уронил тунгусский метеорит :)

ЭЭээ... не понял? Так кто же убил Кеннеди??

Первый антивирус для телефонов я продал клиенту в 2006, на все их 2000 телефонов. Есть в этом некая доля гордости;)

Просто производители ОС не хотят тратить миллионы, на контроль и порядок, ограничения, это не выгодно.

Тем более, что США все равно все тырят, даже видео сьемку наверное могут незаметно включать, а ваше местоположение в реальном времени, данные, может получить кто угодно! По этим данным может прилететь крылатая ракета, а могут и бандиты навестись, оборотни в погонах даже не думают вымирать!

Даже там где вынимается аккумулятор, есть дополнительное автономное питание, на неизвестно какое время! А симки выдают по паспорту, и его данным, номеру, год рождения, выдан... - вас не перепутают с другим Ивановым Иван Ивановичем! Это же беспредел, нарушение прав, законы должны это запрещать! Это потенциально опасно даже для жизни людей!

Есть данные, ВОЗМОЖНОСТИ, а значит доступ к ним может получить кто угодно! И не нужно думать что эти данные/возможности доступны только хорошим людям, и не смогут быть доступны плохим.



Edited at 2014-06-16 03:28 (UTC)

?

Log in

No account? Create an account