Chúng ta nhớ lại câu chuyện về sâu ILOVEYOU — một trong những loại virus khét tiếng nhất từ 22 năm trước.

Hãy cùng ngược dòng ký ức về tháng 5 năm 2000. Lại một ngày nữa tại văn phòng: Bạn bật máy tính làm việc, kết nối internet và tải xuống e-mail mới nhất trong ứng dụng khách Microsoft Outlook. Bạn ngay lập tức nhận thấy một tin nhắn lạ với dòng chủ đề “ILOVEYOU.” Một người bạn biết thú nhận tình yêu của họ với bạn. Có thể là một người bạn cùng trường… Đợi đã, không! Thậm chí tốt hơn – người giám sát lớn tuổi của bạn.
Dù là ai đi chăng nữa thì chắc chắn là rất bắt mắt, vì vậy bạn nhấp vào tệp đính kèm có tên “LOVE-LETTER-FOR-YOU.TXT.VBS” và… dường như không có gì xảy ra. Tuy nhiên, một thời gian sau, bạn phát hiện ra rằng các tài liệu quan trọng trên đĩa cứng của mình đã bị hỏng không thể sửa chữa được và một loạt các bức thư tình tương tự đã được gửi thay mặt bạn — tới tất cả các địa chỉ liên hệ trong sổ địa chỉ của bạn.

ILOVEYOU không phải là phần mềm độc hại đầu tiên khai thác lỗ hổng trong ứng dụng e-mail của Microsoft, nhưng chắc chắn nó đã khởi xướng một trong những đợt bùng phát vi-rút nghiêm trọng nhất vào đầu thiên niên kỷ mới. Hãy cùng nhìn lại lịch sử của nó và nói về việc nó đã thay đổi nhận thức của chúng ta về bảo mật hệ thống máy tính như thế nào.
Bối cảnh: internet là công nghệ thời thượng nhất
Năm 2000… Đó là một thời gian dài trước đây — từ năm 2022, có vẻ như thời tiền sử. Ngày nay, bạn có thể xem các bản sao được lưu trữ của các trang web từ những ngày đó hoặc lấy một chiếc máy tính xách tay Windows 98 cũ ra khỏi tủ để ghi nhớ những chương trình chúng ta đã sử dụng – nó giống như Thời kỳ đồ đá, phải không? Vâng, không thực sự. Tất nhiên, công nghệ vào đầu thiên niên kỷ còn sơ khai so với tiêu chuẩn ngày nay. Đại đa số người dùng kết nối với mạng bằng modem, và nó rất chậm. Nhưng nguyên mẫu của hầu hết tất cả các dịch vụ mạng hiện đại đã tồn tại trước đó.
Không có truyền phát video, nhưng có truyền phát radio. Có một loạt các sứ giả trực tuyến. Thương mại Internet đang phát triển với tốc độ chóng mặt, mặc dù việc gọi đến cửa hàng qua điện thoại thường dễ dàng hơn là đặt hàng trên trang web.
Nói chung, vào năm 2000, bất kỳ công nghệ mạng nào hoặc bất kỳ dịch vụ nào có tiền tố “e-” (nghĩa là điện tử!) đều nhận được rất nhiều sự chú ý và đầu tư. Sau đó, có một chút thất vọng vào năm 2001 khi nhiều công ty khởi nghiệp trên internet bị phá sản và ngành này mất đi một chút cường điệu nhưng lại có ý nghĩa hơn một chút.
Một dấu hiệu quan trọng cho thấy mức độ phổ biến của Internet vào thời điểm đó là việc phát hành bộ phim nổi tiếng You’ve Got Mail năm 1998, nửa hài hước nửa lãng mạn và nửa thương mại cho gã khổng lồ America Online lúc bấy giờ.
Đối với câu chuyện của chúng tôi, điều quan trọng là vào cuối những năm 1990, internet không còn là nơi dành cho những người có đặc quyền: vào năm 2000, hàng trăm triệu người đã lên mạng. Do đó, e-mail đã là một công cụ quan trọng để liên lạc và cộng tác trong nhiều công ty và cơ quan chính phủ, cũng như đối với người dùng gia đình thông thường.
Nhưng vào tháng 5 năm 2000, “sự chuyển đổi kỹ thuật số” này, cách gọi nó trở nên phổ biến sau này, đột ngột bị dừng lại do sự bùng phát của vi rút ILOVEYOU. Nhiều công ty đã buộc phải tạm thời đóng cửa máy chủ thư của họ, đơn giản là không thể đối phó với hàng chục nghìn tin nhắn yêu thương.
Người tiền nhiệm: Concept.B và Melissa
Nói một cách chính xác, ILOVEYOU nên được phân loại là một loại sâu mạng: nó là một chương trình độc hại tự lây lan trên mạng. Một tính năng quan trọng khác của ILOVEYOU là việc lây nhiễm ban đầu được thực hiện bằng một chương trình VBscript đơn giản. Đổi lại, VBscript được xây dựng dựa trên ý tưởng thậm chí còn cũ hơn về macro: về cơ bản, các chương trình đơn giản cho phép bạn tự động hóa các hành động cụ thể — ví dụ: khi làm việc với tài liệu.
Thông thường, macro được sử dụng để thực hiện các phép tính phức tạp trong bảng tính, chẳng hạn như Microsoft Excel. Ví dụ, từ thời cổ đại, macro cũng đã được hỗ trợ trong Microsoft Word để tự động tạo báo cáo từ dữ liệu được nhập trong một biểu mẫu.
Năm 1995, chức năng Word này đã bị vi-rút WM/Concept.A khai thác. Virus macro này đã lây nhiễm tài liệu Microsoft Word và hiển thị thông báo này khi tài liệu được mở:

Và đó là tất cả. Không có chức năng độc hại nào như vậy, chỉ là một cửa sổ khá khó chịu liên tục bật lên. Cựu nhân viên của Microsoft, Steven Sinofsky, người chịu trách nhiệm phát triển các giải pháp văn phòng của công ty từ năm 1998 đến năm 2006, đề cập đến Concept.A trong hồi ký của mình như một tín hiệu đầu tiên: tại thời điểm đó, rõ ràng là tự động hóa được triển khai trong tất cả các giải pháp của Microsoft có thể là được sử dụng để gây bất lợi cho nó. Do đó, nó đã được quyết định hiển thị cảnh báo trước khi chạy macro: tài liệu chứa chương trình, bạn có chắc chắn muốn chạy chương trình đó không?
Ngay sau khi Microsoft bắt đầu triển khai các hạn chế đối với việc chạy macro, các tác giả phần mềm độc hại đã bắt đầu tìm cách vượt qua các hạn chế này. Sự kiện nổi tiếng tiếp theo xảy ra vào tháng 3 năm 1999. Steven Sinofsky đã mô tả nó giống như thế nào: khi bạn kiểm tra e-mail của mình, bạn nhận được một tin nhắn có tệp đính kèm và dòng tiêu đề “Thông báo quan trọng từ…”.

Và sau đó là một cái khác từ một người gửi khác. Và một cái khác. Và sau đó e-mail ngừng hoạt động: ngay cả máy chủ e-mail của Microsoft cũng không thể tải được. Đó là con sâu internet Melissa. Tài liệu Microsoft Word đính kèm chứa mã độc gửi một tin nhắn qua Microsoft Outlook tới 50 địa chỉ liên hệ đầu tiên trong sổ địa chỉ.
Đó là tất cả về tình yêu
Con sâu ILOVEYOU là sự phát triển của những ý tưởng được sử dụng trong Melissa. Nó không khai thác bất kỳ lỗ hổng nào trong các sản phẩm của Microsoft mà thay vào đó sử dụng chức năng tiêu chuẩn. Lỗi duy nhất là không có cảnh báo nào được hiển thị khi tập lệnh được khởi chạy từ ứng dụng e-mail Outlook.
Chức năng của sâu không giới hạn trong việc gửi thông điệp yêu thương đến tất cả người nhận. Ngoài thư rác e-mail được gửi thay mặt nạn nhân, nó cũng có khả năng lây lan qua trình nhắn tin IRC phổ biến lúc bấy giờ. Hơn nữa, con sâu này đã tải xuống một chương trình Trojan gửi mật khẩu truy cập thư và internet cho người tạo ra phần mềm độc hại. Cuối cùng, nó đã xóa, ẩn hoặc làm hỏng các tệp trên ổ cứng: nhạc ở định dạng MP3, hình ảnh JPEG, nhiều tập lệnh và bản sao của các trang web.
Kẻ chủ mưu đằng sau đợt bùng phát ILOVEYOU đã kết hợp các bước phát triển từ các vi-rút macro trước đó, đã nghĩ ra một thủ thuật kỹ thuật xã hội cuối cùng (làm sao mọi người có thể bỏ qua một tệp có tên “I love you”?), thêm chức năng độc hại và tận dụng tối đa việc phát tán phần mềm độc hại tự động .
Theo báo cáo của Kaspersky và các phương tiện truyền thông vào thời điểm đó, có thể xây dựng lại chuỗi sự kiện. Ngay trong ngày đầu tiên, ngày 4 tháng 5, hàng nghìn trường hợp lây nhiễm hệ thống đã được phát hiện. Vào ngày 9 tháng 5, 2,5 triệu máy tính bị lây nhiễm đã được báo cáo, nghĩa là đã có hàng chục triệu e-mail được gửi đi khắp thế giới.
Người tạo ra vi-rút thậm chí không cố gắng che giấu mã độc hại dưới vỏ bọc của một tài liệu văn phòng. Tên tệp “LOVE-LETTER-FOR-YOU.TXT.VBS” đã lợi dụng thực tế là các ứng dụng thư khách của Microsoft chỉ hiển thị phần đầu tiên của một tên dài, như có thể thấy trong ảnh chụp màn hình ở đầu bài viết. Mã bên trong ở định dạng mở và chẳng bao lâu sau, nhiều kẻ gian ác lành nghề đã sử dụng nó để tạo ra các biến thể khác nhau của sâu internet. Thay vì ILOVEYOU, những từ khác bắt đầu xuất hiện trong dòng chủ đề, bao gồm cả cảnh báo vi-rút tự mãn. Biến thể NewLove, được phát hiện vào ngày 19 tháng 5, không xóa các tệp có chọn lọc mà xóa hoàn toàn mọi thông tin trên ổ cứng.
Ước tính cuối cùng về tác động của vi-rút ILOVEYOU như sau: có tới 10% máy tính kết nối internet đã bị lây nhiễm và tổng thiệt hại, bao gồm các hành động phá hoại của các biến thể của nó, ước tính khoảng 10 tỷ USD. Vụ việc đã được báo chí đưa tin rộng rãi và thậm chí còn có các phiên điều trần tại Thượng viện Hoa Kỳ.
Sai lầm đã được thực hiện
Vào năm 2022, khi biết toàn bộ câu chuyện từ đầu đến cuối, có người muốn đặt câu hỏi: không thể ngăn chặn ngay sự bùng phát của một loại virus tầm thường như vậy sao? Mãi cho đến ngày 8 tháng 6 năm 2000, Microsoft mới phát hành một bản cập nhật bảo mật lớn cho ứng dụng e-mail Outlook, bản cập nhật này cuối cùng đã đưa ra những hạn chế nghiêm trọng đối với việc chạy các tập lệnh. Tất cả các tệp đính kèm e-mail đều không đáng tin cậy theo mặc định và các kiểm tra được đưa ra nếu một ứng dụng bên ngoài truy cập vào sổ địa chỉ Outlook hoặc cố gắng gửi nhiều e-mail cùng một lúc.

Họ đã không làm điều đó sớm hơn, bởi vì khi lựa chọn giữa bảo mật và tiện lợi, Microsoft ưu tiên cái sau. Và người dùng cũng vậy. Trở lại năm 1995, khi Microsoft giới thiệu một cảnh báo đơn giản trong Microsoft Word (“Tài liệu này chứa macro”), công ty đã nhận được phản hồi tiêu cực từ khách hàng. Ở một số công ty, sự thừa nhận bổ sung này đã phá vỡ các quy trình nội bộ được xây dựng trên các tập lệnh. Vì lý do đó, ngay cả khi phát triển một bản vá sau ILOVEYOU, câu hỏi “Liệu nó có làm hỏng thứ gì đó cho người dùng không?” đã có trong chương trình nghị sự, nhưng lần này rõ ràng là an ninh cần phải được cải thiện và nhanh chóng.
Virus cũ, vấn đề hiện đại
Đại dịch ILOVEYOU đã đặt ra nhiều câu hỏi vẫn còn phù hợp cho đến ngày nay trong lĩnh vực bảo mật thông tin. Điều quan trọng nhất dường như là: chúng ta không thể gửi các bản vá lỗi nhanh hơn nữa sao? Chắc chắn có vấn đề với điều này: Microsoft đã phát hành một bộ bản vá cho Outlook hơn một tháng sau khi đợt bùng phát bắt đầu. Ngoài ra, các cơ chế gửi tự động cho các bản cập nhật này còn thô sơ, vì vậy các đợt bùng phát lây nhiễm qua thư cục bộ phải mất một thời gian dài mới chấm dứt.
Ngành giải pháp bảo mật đã cho thấy mình khá có lợi theo nghĩa này. Như Eugene Kaspersky nhớ lại, không khó để bảo vệ người dùng chống vi-rút của công ty. Ngay cả khi đó, một hệ thống phân phối trực tuyến các bản cập nhật thường xuyên đã được giới thiệu trong phần mềm bảo mật, trong khi phải mất nhiều năm nữa các nhà phát triển các loại chương trình khác mới triển khai một sơ đồ tương tự để phân phối bản vá nhanh chóng. Một thời gian sau, các phương pháp phân tích heuristic đã được phát triển để tự động phát hiện và chặn các tập lệnh độc hại chưa biết.
Mặc dù tính bảo mật của các chương trình và hệ điều hành phổ biến đã được cải thiện rất nhiều trong 22 năm qua, nhưng những kẻ tạo phần mềm độc hại vẫn tiếp tục tìm ra các kẽ hở mới để thực hiện các cuộc tấn công mạng thành công.
Các macro độc hại cũng không biến mất. Vào tháng 2 năm 2022, Microsoft đã hứa cuối cùng sẽ hạn chế khả năng phân phối chúng bằng cách cấm thực thi bất kỳ tập lệnh nào trong tài liệu Office thu được qua internet. Vào đầu tháng 7 năm 2022, lệnh cấm này đã được dỡ bỏ — thật hợp lý khi cho rằng những lo ngại về việc một thứ gì đó bị hỏng ở cuối của người dùng đã trở thành sự thật. Cuối tháng 7 đó, Microsoft một lần nữa quyết định bắt đầu chặn macro theo mặc định, lần này giải thích cho những người có nhu cầu về cách vượt qua lệnh cấm.
Có ít đợt bùng phát quy mô lớn hơn trong đó một phần mềm độc hại lây lan đến hàng chục hoặc hàng trăm triệu máy tính, nhưng chúng tôi vẫn không thể ngăn chặn chúng hoàn toàn. Điều chắc chắn đã thay đổi là cách kiếm tiền từ các cuộc tấn công mạng, bắt giữ dữ liệu của công ty và người dùng làm con tin và đòi tiền chuộc.
Hãy kết thúc câu chuyện của chúng ta bằng một bản tóm tắt ngắn gọn về số phận của kẻ tạo ra sâu internet ILOVEYOU. Vào thời điểm bùng phát dịch bệnh, Onel de Guzman là một sinh viên 24 tuổi. Năm 2000, các quan chức FBI có thể xác định rằng các tin nhắn ban đầu có chứa sâu đã được gửi đến các danh sách gửi thư phổ biến cho người dùng từ Philippines, nơi de Guzman vẫn sống. Năm 2000, anh bị đưa vào danh sách các tác giả bị nghi ngờ của ILOVEYOU. Nhưng anh ta không bị trừng phạt vì hai lý do: thiếu bằng chứng và không có điều khoản hình sự về tội phạm mạng trong luật địa phương vào thời điểm đó.
Năm 2020, de Guzman bị các nhà báo lần ra dấu vết. Anh ấy nói với họ rằng ILOVEYOU ban đầu không có chức năng gửi thư hàng loạt cho sổ địa chỉ Outlook và rằng anh ấy đã tạo ra sâu để đánh cắp mật khẩu truy cập internet vì anh ấy không đủ khả năng chi trả cho nó. De Guzman không bao giờ quản lý để kiếm tiền từ tài năng độc hại của mình. Vào thời điểm bài báo được xuất bản, anh ấy đang làm việc trong một cửa hàng sửa chữa điện thoại khiêm tốn ở Manila.