Червяк длиною в 10 лет.

Всё началось вот с этих вот гаджетов (тогда их называли “девайсы”). Тогда они были пределом мечтаний каждого уважаемого хипстера :) И именно на них мы в чисто научных целых спасения мира анализировали первого мобильного зловреда. Он был обнаружен 15 июня 2004 г. в 19:17 по московскому времени, т.е. ровно 10 лез назад от момента публикации этого самого поста.

На этих мобилках разбирался первый мобильный вирус

Это был Cabir, червяк для Symbian, расползавшийся по другим мобилкам через Bluetooth и даже успевший через год после появления, в августе 2005, вызвать локальную эпидемию на чемпионате мира по лёгкой атлетике в Финляндии :) Думаю, не стоит сейчас углубляться и рассказывать как далеко скакнула мобильная вирусология с тех пор. Лучше послушаем из “первых рук” широко известного анонимного вирусного эксперта А.Г. захватывающую историю как мы его задетектили, почему у нас в офисе появилась экранированная комната, кто стоял за Cabir’ом и вообще почему этого червя так назвали.

Ниже – интервью с нашего Интранета, лексика, пунктуация и всё остальное сохранены.

– Вирус Cabir появился на свет десять лет назад. Что тогда вообще было с вирусами под мобильные платформы?

– Их практически не было. Я хорошо помню один момент: в 2004 году у нас проходила международная пресс-конференция, во время которой один из журналистов спросил меня о том, когда появится первый вирус для мобильных телефонов. На что я ответил, что через год на следующем подобном мероприятии они уже будут. И угадал: буквально через несколько месяцев один из сменных вирусных аналитиков обнаружил некий непонятный файл неясно под какую платформу и попросил помощи у своего коллеги – Романа Кузьменко – с разбором этого подозрительного приложения. Кстати говоря, Рома среди всех наших вирусных аналитиков заметно выделялся умением анализировать самые необычные вещи и очень быстро. Он через пару часов вынес вердикт, что это вирус для платформы Symbian и ARM-процессоров. Такая комбинация существовала только на мобильных телефонах, а Symbian  вообще стояла только на устройствах Nokia. В тот момент сходу понять, что же делает вирус, было непонятно – необходимо было провести тестирование, для чего найти хотя бы один смартфон Nokia (в то время это было нелегко – такого уровня телефоны еще были редкостью). Тем временем в Вирлабе продолжали его анализировать и поняли его ключевые фичи – умение работать с Bluetooth и передавать файлы.

– То есть тогда у вас не было базы оборудования для тестирования мобильных вирусов?

Малвару назвали созвучно фамилии нашей коллеги. Она просто под руку попалась, но не возражала :)

– Именно. Так как Кабир был первым вирусом под мобильные телефоны, он стал некой отправной точкой, сигналом вирусописателям, что создавать вредоносный код под смартфоны тоже возможно. В течение года мы утвердились во мнении, что анализ мобильных угроз нужно выносить в отдельное направление, все же они заметно отличаются от компьютерных вирусов. Тогда был создан отдел по анализу мобильных угроз, который возглавил я. Затем ко мне присоединился Денис Масленников, мы ввели в практику покупку всех мобильных девайсов, которые даже теоретически могли бы быть атакованы вредоносным кодом. Тогда у нас появился весь набор Symbian-устройств, а также телефонов на базе Windows, BlackBerry и т.д. Мы и сейчас продолжаем раз в год докупать некоторые новинки в мобильной индустрии и откладывать, вдруг что появится новое, а нам не на чем будет это тестировать. Где-то наверняка хранится тот самый первый телефон или даже два, на которых мы тестировали первый мобильный вирус Кабир.

– Кстати, а почему его так назвали? Ведь на скриншотах на Securelist видно, что файл содержит другое название…

Cabir, Caribe...

– Ооо, это отдельная история! Как ты правильно заметила, автор этого вируса назвал его Caribe. Но в антивирусной индустрии не принято давать вирусам те имена, которые придумали их авторы, чтоб не потакать их самолюбию. Поэтому перед публичным упоминанием этого вируса нам нужно было изменить название. И как раз во время горячих обсуждений в комнату вошла наша коллега Елена Кабирова, мы решили, что ее фамилия созвучна имевшемуся имени вируса и предложили ей войти в историю, дав часть своей фамилии первому вирусу для мобильных телефонов. На такое предложение она не могла не согласиться :)

– Так, с именем разобрались. А теперь расскажи, как вы его обнаружили, если у вас не было таких телефонов?

– Как и многие другие вирусы – мы получили письмо, содержащее этот файл и ничего кроме файла, на традиционный адрес newvirus@kaspersky.com. Хотя даже имя отправителя уже давало понять, что задача перед нами стоит нетривиальная. Дело в том, что отправитель письма был нам более или менее известен, он числился в наших базах как один из не то чтобы вирусописателей, но людей, связанных с андеграундом. Он периодически присылал нам новые вирусы, создаваемые европейскими вирусописателями. Как правило, все присылаемые им вещи оказывались чем-то новым, уникальным. В тот момент мы еще не знали, что он отправил этот вирус одновременно в 5 или 6 антивирусных компаний, но мы стали единственными, кто смог понять сущность этого файла. В том, что дело серьезное, нас убедила репутация отправителя и строчки, содержащиеся в коде зловреда (Caribe и 29А). Мы поняли, что за созданием этого вируса стоит давно и печально известная международная группа вирусописателей под одноименным названием 29А.

– А что было дальше?

– После первоначального разбора вируса стало понятно, что для тестирования нужно 2 телефона на платформе Symbian, поскольку вирус передавал себя с одного телефона на другой с использованием Bluetooth. В конце концов нам это удалось, мы скопировали вирус на один телефон, включили на другом Bluetooth в режиме Discoverable Mode – и буквально моментально на этот второй телефон пришел запрос на прием файла. После загрузки и запуска файла уже и второй телефон начал автоматически  искать все доступные Bluetooth-устройства. Распространение вируса через Bluetooth было нами подтверждено – и тут уже в дело вступил Денис Зенкин, который написал пресс-релиз, повествующий миру о появлении первого вируса. Собственно, это было самым началом.

За Cabir стояла самая легендарная группа вирусописателей в истории вирусологии. Каждое творение 29А было прорывом, который затем уже использовался другими вирусописателями, а затем уже киберпреступниками

Кстати, это свойство вируса и его последующих модификаций доставило нам немало проблем в будущем. Все же мы находились не в вакууме, а в обычном офисе, за стенами и на других этажах тоже сидели люди, которые могли этот файл принять. Мы поняли, что ставим под угрозу заражения наших собственных коллег. Это и побудило компанию выделить отдельную экранированную железную комнату, в которой было разрешено проводить эксперименты с мобильными зловредами. В этой комнате полностью не работала мобильная связь, глушились любые коммуникации, все было сделано для того, чтобы вирус не вышел за пределы помещения. Эта железная комната была в здании РадиоФизики, где был наш офис, а затем и в Диапазоне на Октябрьском Поле. Эта комната была не только необходимым средством для тестирования мобильных вирусов, но и излюбленным аттракционом журналистов, куда их обязательно приводили. Сейчас же ландшафт мобильных угроз изменился, такого рода вирусы перестали существовать, так что необходимость в подобной комнате отпала.

– Ты говорил, что за созданием этого опасного вируса стояла некая группа вирусописателей. Чем она знаменита?

– Это самая легендарная группа вирусописателей в истории. Они создали гигантское количество передовых, уникальных вещей. Группа состояла из вирусописателей из разных стран мира, состав которых постоянно менялся, но был некий костяк – граждане Испании и Бразилии. Одним из них, человеком по имени, если мне не изменяет память, Велес и был создан Cabir. Вообще группа 29А по современным меркам не были киберпреступниками – они были вирусописателями и создавали свои вирусы с целью проверки, демонстрации новых вирусных технологий. Так что за их действиями стояли скорее идеологические мотивы, а не жажда наживы. Они были во многом первыми: они первыми создали первый макровирус для документов, первый вирус для платформы Windows 64 – каждое творение 29А было прорывом, который затем уже использовался другими вирусописателями, а затем уже киберпреступниками. Вообще на тот момент, в 2004 году, киберпреступность как таковая только начинала зарождаться. В тот момент большинство создаваемых вирусных программ относились скорее к хулиганскому классу, для того чтобы самовыразиться. Группа просуществовала где-то до 2009 года, хотя и раньше их активность заметно снизилась. Должен сказать, что часть членов группы была арестована в Испании, Бразилии и Чехии, а другая часть продолжает заниматься написанием вредоносных программ. Мы знаем это, потому встречаем знакомые кусочки кода, проявления их почерка.

– Ты упомянул о модификациях Cabir, какое же было продолжение у Cabir?

– Группа, создавшая Cabir, была известна не только своей продвинутостью, но и тем, что она издавала свой электронный журнал. И вот через несколько месяцев после появления Cabir на свет, они опубликовали информацию об этом черве вместе с участками исполнимого кода, спустя какое-то время модификации Cabir стали появляться каждую неделю. У нас был и особо жаждующий славы вирусописатель, который настойчиво присылал модификацию вируса с просьбой дать отдельное название. Он на протяжении года возвращался, пытаясь хоть как-то войти в историю мобильных вирусов, в конце концов он добился того, что одну из модификаций мы выделили в отдельное семейство.

– И опять об истории. Ты говорил, что только Лаборатория смогла проанализировать этот вирус и выпустить на его тему пресс-релиз. Откуда же в связи с именем Cabir взялось название F-Secure?

Червь не наносил прямого ущерба. Он только быстро, за 2-3 часа, разряжал телефон – все же постоянный поиск Bluetooth-соединений – дело затратное

– Несмотря на то, что вирус был нами проанализирован, оказался в общем доступе и на его основе были модификации, сам Cabir умудрился устроить небольшую, но довольно громкую вирусную эпидемию. Дело в том что в Финляндии проходил чемпионат мира по легкой атлетике. А это значит: стадион, где много людей, приехавших из разных стран мира, радиус поражения Cabir вообще крайне невелик – радиус  действия Bluetooth около 20 метров. Дело усугублялось еще тем, что в Финляндии Nokia были очень популярными, так что Cabir легко попал на стадион в кармане одного из посетителей. И в то время пока по площадке бегали люди из разных стран, вирус бегал по трибунам, в конце концов достигнув телефона одного из сотрудников F-Secure. Антивирусная компания быстро сообразила поставить Bluetooth–scanner на стадионе, предлагая посетителям проверить, не заражены ли эти телефоном этим вирусом.

– Что же этот мобильный вирус делал, кроме того что размножался?

– Прямых финансовых убытков он не наносил, если ты об этом. Он довольно быстро разряжал телефон – за 2-3 часа, все же постоянный поиск Bluetooth-соединений – дело затратное. В денежном плане намного более опасным были последующие вирусы, которые помимо рассылки самого себя отправляли MMS-ки на платные номера. Так, известный вирус в Post-Cabir истории –  Comwario – вызвал эпидемию в одном из испанских городов, финансовый ущерб от которой оценили в несколько миллионов евро.

– Вот ты рассказал про вирусописателей из группы 29А, они в основном испаноговорящие. А что с российскими вирусописателями?

– Конечно, российских киберпреступников тоже есть за что вспомнить: например, кто-то из них создал первый мобильный вирус, который работал на Java и потому был более успешен, чем вирусы для Symbian. Поскольку Symbian был только на Nokia, а java работал на любых мобильных устройствах, не только на смартфонах, но и на обычных мобильниках, этот вирус был очень опасен. Часть полученных денег зачислялась на счет владельца короткого премиум-номера, который был собственно вирусописателем. И тут Россия оказалась впереди планеты всей, именно тут такие вирусы были опробованы, созданы. И Россия продолжает оставаться в числе лидеров именно в области мобильного мошенничества.

– Мы сегодня обсудили мобильные угрозы, способы их распространения и даже поговорили о хакерской группе. Но мы не затронули вопрос защиты мобильных платформ – с этим что? Неужели нам нечем было ответить?

– Ну почему же, еще до появления Cabir начали появляться вирусы под PalmOS, так что многие антивирусные компании разрабатывали защиту под эту платформу. Но в конце концов страсти утихли, новых вирусов не появлялось – и многие спрятали информацию об этих продуктах в закрома памяти. Мы же после обнаружения Cabir вспомнили про ту разработку, модифицировали ее и быстро предложили рынку в качестве антивируса для мобильных платформ. В общем, вирусов постепенно появлялось все больше, а мой прогноз, который я давал журналисту в начале 2004 года, оказался точным.

Инфографика: первый вирус для смартфонов Cabir

Прочитать комментарии 1
Комментарии 0 Оставить заметку
Обратные ссылки 1

Пять историй о Cabir, первом вирусе для смартфонов | Malanris's site

Оставить заметку