Autori ‘MyDoom’ softverskog koda nikada nisu otkriveni, iako većina stručnjaka za sajber bezbjednost smatra da su u pitanju ruski državljani, te da je virus originalno i potekao iz Rusije.
Početkom 2004. godine, internet je bio sasvim drugačije mjesto. Nije bilo društvenih mreža (u današnjem obliku), kao ni video servisa poput YouTube-a, budući da većina globalnih korisnika i dalje nije imala velike brzine pristupa internetu. Najpopularniji web sajtovi u to vreme su uglavnom služili za preuzimanje igrica, čitanje vijesti ili ostavljanje poruka (dashboards).
Takođe, sve veću popularnost su doživljavali i tzv. torrent softveri, koji su omogućavali preuzimanje muzike, filmova i serija putem tzv. P2P protokola, što je tada bilo u „sivoj zoni“, a danas je potpuno nelegalno.
Najpopularnija usluga za email (elektronsku poštu) je bio Yahoo Mail, iako će gigant Google sredinom te godine lansirati i svoj Gmail, koji je danas najkorišćeniji. Ipak, većina korisnika, naročito onih poslovnih, koristili su neku od aplikacija za email kako bi primali i slali elektronsku poštu. Dodaci (attachments) u to vreme nisu bili veliki – uglavnom su to bili dokumenti od nekoliko megabajta, a rijetko poneka slika u jpeg formatu.
Iako se do tada već znalo da hakeri masovno koriste emailove da bi proširili svoje viruse širom interneta (poput virusa „I Love You“ iz 2000. koji je uspeo da zarazi najmanje deset miliona računara širom sveta), email je i dalje smatran „relativno sigurnim“ vidom komunikacije.
‘Lični smak svijeta’
Krajem januara i početkom februara 2004. godine, korisnici u Evropi, a nešto kasnije i širom SAD-a, počeli su da masovno dobijaju email poruke od poznatih osoba, ali sa čudnom sadržinom, najčešće tekstom „Andy, im just doing my job, nothing personal“ („Andy, ja samo radim svoj posao, ništa lično“). Neki korisnici u Švedskoj su dobijali slične email poruke, ali sa tekstom na ruskom, dijelom pjesme „Ustani, velika zemljo“ (pesma popularna za vreme Drugog svetskog rata). U drugim dijelovima Evrope, naslov email poruke je ponekad bio na francuskom ili njemačkom (uglavnom „Greška pri slanju“ ili samo „Greška“), ali je sadržaj bio isti. Sve ovakve email poruke su imale isti fajl u dodatku, koji je naizgled bio tekstualni fajl i imao je ikonu aplikacije „Windows Notepad“ kada bi bio preuzet. Ipak, u pitanju je bio kompjuterski kod, napisan u jeziku „C++“, koji bi nakon pokretanja iskopirao sve kontakte iz email aplikacije, te poslao kopiju originalnog zaraženog emaila svim primaocima.
Na ovaj način, virus se izuzetno velikom brzinom proširio na internetu, a smatra se da je 15-ak odsto svih email poruka u sijvetu tada bilo zaraženo. Stručnjaci su ubrzo ovaj virus nazvali „MyDoom“ (lični smak svijeta), zbog brzine i agresivnosti njegovog širenja. Ova verzija se nazivala i „MyDoom.A“, ali se za samo mjesec dana pojavila i druga, još agresivnija verzija „MyDoom.B“, koja bi aktivno skenirala sve aplikacije na računaru koje su imale neke korisničke podatke ili kontakte.
Kada bi korisnik otvorio dokument zaražen „MyDoom“ virusom, dobio bi nečitljiv tekstualni dokument sa nasumičnim karakterima, ali bi virus u pozadini kreirao fajl „Shimgapi.dll“ u sistemskom folderu računara. Ovaj fajl su stručnjaci kasnije nazvali „zadnja vrata“ (eng. backdoor), jer je omogućavao hakerima puni pristup računaru i podacima putem interneta. Zbog ovoga je „MyDoom“ nazvan i „crvom“ (worm virus), jer je bio u stanju da „probuši“ operativni sistem. „MyDoom.B“ je takođe imao i komponentu koja je sve zaražene računare koristila kao „mrežu botova“ ili „zombi računara (eng. botnet), za napade na brojne web stranice velikih kompanija, među kojima je bila i stranica Microsofta. U ljeto 2004. godine se pojavila i nova „grana“ ovih virusa (eng. software fork) nazvana „Doomjuice“, koja je koristila „rupu“ u već inficiranim računarima za širenje novih virusa.
U opasnosti kompjuteri u industriji i medicini
Procijenjuje se da je u posljednjih 20 godina najmanje pedeset miliona računara bilo zaraženo nekom vrstom „MyDoom“ virusa.
Iako računari koji koriste MacOS i Linux operativne sisteme nikada nisu bili „u opasnosti“, a antivirusni softveri već godinama unazad lako uklanjaju viruse iz ove „softverske porodice“, i danas su u opasnosti tzv. legacy računari. Radi se o specifičnim i specijalizovanim računarima, najčešće u industriji i medicini, koji upravljaju složenim sistemima, te se iz različitih razloga moraju koristiti i danas. Oni obično i dalje rade na starim verzijama Windowsa, poput Windowsa XP. Ovo je naročito slučaj na Zapadnom Balkanu, gde su veoma često u državnom sektoru u upotrebi računarski sistemi stari i po 15-ak godina.
„MyDoom.B“ je i danas aktivan na internetu, a neki stručnjaci smatraju da je svaki deseti „spam email“ i dalje zaražen njime. Sistemi i kompjuterske mreže zaraženi ovim virusom su za 20-ak godina prouzrokovali direktnu štetu od preko četrdeset milijardi dolara usljed gubitka važnih podataka, te stotine milijardi dolara u izgubljenoj dobiti kompanija (lost revenue).
Nova generacija virusa
Početkom jula 2009. godine, kompjuterske sisteme – prvo u Južnoj Koreji, a zatim i u SAD-u – pogodio je talas hakerskih napada, koji su naizgled bili izuzetno sofisticirani, jer ih nisu mogli detektovati čak ni najbolji softveri. Ubrzo se ispostavilo da je, zapravo, u pitanju „nova generacija“ MyDoom porodice virusa, koja je bila „unaprijeđena“ za napad na kompjutere sa novim verzijama Windowsa. Tada su bili i pogođeni i pojedini kompjuteri u samoj Bijeloj kući, te pojedini sistemi u Senatu i Pentagonu.
Autori „MyDoom“ softverskog koda nikada nisu otkriveni, iako većina stručnjaka za sajber bezbjednost smatra da su u pitanju ruski državljani, te da je virus originalno i potekao iz Rusije. Analiza samog softverskog koda virusa pokazuje semantiku kakvu najčešće koriste ruski programeri kada pišu i „normalne“ programe. Takođe, u nekim dijelovima koda virusa nalaze se i „primjedbe“ na ruskom, gde se ocijenjuje da „ovaj dio koda ne radi dovoljno dobro“.
Vjeruje se i da je „MyDoom“ zapravo bio „dokaz izvodljivosti“ (proof of concept) koji je pokazao da ruski hakeri mogu uspiješno lansirati viruse i globalne sajber napade. Zanimljivo je i da će prva „prava“ jedinica „državnih hakera“, nazvana „Jedinica 74455“ u okviru vojne obaveštajne službe GRU biti formirana samo godinu dana kasnije, početkom 2005. Ova hakerska grupa je danas poznata kao „Sandworm“ i „Iridium“, a tereti se za napade na ukrajinske sisteme za prenos električne energije 2015. i 2016, sajber napad na Zimske olimpijske igre u Južnoj Koreji 2018, te nove napade na kompjuterske mreže u Ukrajini nakon početka ruske agresije 2022.
Američko ministarstvo pravde i FBI su 2020. godine raspisale crvenu potjernicu za šest najviših oficira službe GRU, za koje se vjeruje i da su ključni ljudi ove hakerske grupe.
Izvor: Al Jazeera Balkans
