Większość z Was pewnie spotkała się już z programami szyfrującymi pliki i żądającymi od użytkowników okupu w zamian za dane. Mało kto jednak wie, że pierwszy przypadek takiego wymuszenia na dużą skalę miał miejsce już w roku 1989.
Jak przed epoką internetu zainfekować tysiące komputerów złośliwym oprogramowaniem, zaszyfrować znajdujące się na nich pliki i poprosić ich właścicieli o okup i anonimowo go inkasować? Problem wydaje się dość złożony – a mimo tego pewien naukowiec mu podołał.
Metoda dystrybucji konia trojańskiego i poboru opłaty
W dzisiejszych czasach ransomware przybywa w postaci załączników do poczty udających faktury czy też programów pobieranych przez nieświadomych użytkowników nieaktualnych wtyczek do przeglądarek. Nasz bohater, koń trojański AIDS, 26 lat temu nie miał takich udogodnień – dlatego przybywał także pocztą, tyle że tradycyjną, na dyskietkach 5,25 cala. W grudniu 1989 roku do wielu osób i instytucji na całym świecie zaczęły trafiać przesyłki, nadawane przez firmę PC Cyborg Corporation. Skala dystrybucji określana przez różne źródła waha się od 10 do 20 tysięcy dyskietek rozesłanych do 90 krajów świata. Zawierały one program wyświetlający interaktywną ankietę, której celem była ocena, na ile osoba ankietowana narażona jest na zarażenie wirusem HIV. Program faktycznie działał – ale miał także ukryte funkcje. Sprawiały one, że po 90 restarcie komputera pojawiała się informacja o konieczności włączenia drukarki. Gdy drukarka była już uruchomiona, program drukował… list z żądaniem okupu.
Żądanie okupu było dość zawoalowane i ukryte pod pojęciem opłaty licencyjnej za korzystanie z programu. Odpowiednia informacja znajdowała się w samym programie, a użytkownicy byli proszeni o przesłanie kwoty 189 dolarów na odpowiednik bitcoinów sprzed lat – czyli skrzynkę pocztową w Panamie. Aby lepiej zmotywować użytkownika do wniesienia opłaty program szyfrował zawartość dysku, na którym się znajdował, a w zamian za uiszczenie opłaty obiecywał przesłanie narzędzia odszyfrowującego dane. Zarówno metoda, jak i skala ataku nie pojawiła się nigdy wcześniej, a i przez wiele lat nie znalazła naśladowców – aż do naszych czasów. Kto wykazał się tak niezwykle wizjonerskim pomysłem?
Sfrustrowany doktor
Początkowo organy ścigania nie bardzo wiedziały, co robić z poszkodowanymi – w przepisach brakowało odpowiednich paragrafów. Brytyjski prokurator oparł się jednak na przepisach o oszustwie i w oparciu o skargi kilkunastu osób wszczął śledztwo. Sprawcą okazał się doktor. Joseph L. Popp, biolog zajmujący się kwestiami ewolucji z tytułem doktora z Harvardu. Sam doktor Popp był konsultantem WHO i aktywnie zajmował się badaniami nad AIDS. Przez jakiś czas pracował w Kenii, był także współorganizatorem konferencji naukowej poświęconej temu zagadnieniu. Na liście ofiar jego wysyłki znalazły się setki naukowców i instytutów badawczych, pracujących nad problemem AIDS. Skąd naraz pomysł zaatakowania kolegów po fachu? Jedna z teorii mówi, że krótko przed incydentem nie został przyjęty na etat w WHO i mogła być to forma zemsty. Brak jednak jednoznacznych przesłanek wskazujących motyw sprawcy.
Jak trafiono na jego ślad? To dość absurdalna historia. W Wigilię 1989, około 2 tygodnie po rozesłaniu wirusa doktor Popp wracał do USA z Nairobii, gdzie brał udział w konferencji naukowej. Jednym z najgorętszych tematów poruszanych w gazetach był już jego program. Na lotnisku w Amsterdamie najwyraźniej przeżył załamanie nerwowe, ponieważ zwrócił na siebie uwagę obsługi pisząc na walizce współpasażera „DR POPP ZOSTAŁ OTRUTY”. Przeszukanie jego bagażu wskazało na etykiety z nazwą firmy PC Cyborg Corporation. Ktoś szybko skojarzył fakty i doktor został zatrzymany i przekazany do Wielkiej Brytanii, gdzie toczyło się już śledztwo przeciwko niemu. W Londynie doktor kontynuował swoje wybryki – a to zakładał na nos prezerwatywę, a to na głowie nosił kartonowe pudełko. Po dwóch latach śledztwa doszło do procesu, w czasie którego na podstawie opinii psychiatrycznej został uznanym za niepoczytalnego i zwolniony z aresztu. Było to dużym rozczarowaniem dla organów ścigania, które po raz pierwszy zebrały cały łańcuch dowodów wskazujących na tożsamość autora złośliwego oprogramowania.
Teoria o niepoczytalności doktora ma wielu przeciwników – policja znalazła w jego bagażu pamiętnik, wskazujący, że całą akcję planował przez półtora roku i szykował produkcję kolejnych 2 milionów dyskietek. Doktor po powrocie do USA kontynuował karierę naukową, badał życie małp w Afryce aż w końcu otworzył całkiem popularną wystawę motyli pod Nowym Jorkiem.
A teraz przejdźmy do szczegółów
Jak został przeprowadzony innowacyjny atak? Na szczęście nie tylko my uznaliśmy go za ciekawy i kilku badaczy poświęciło mu sporo czasu, dzięki czemu możemy opowiedzieć Wam sporo ciekawostek na temat samego wirusa i całego ataku.
W roku 1989 nie było ataków drive-by-download ani spambotów, zatem doktor Popp musiał jakoś przygotować listę dystrybucji swojego wirusa. Oprócz listy uczestników konferencji poświęconej AIDS doktor najwyraźniej kupił listy użytkowników komputerów, w tym listę abonentów magazynu PC Business World. Tysiące kopert zawierających dyskietkę 5,25 wysłał do swoich ofiar 11 grudnia 1989 pocztą priorytetową z Londynu. Co ciekawe, choć na kupionych listach nie brakowało adresów znajdujących się w USA, żaden nie otrzymał przesyłki. Najwyraźniej doktor zdwał sobie sprawę z potencjalnych poważniejszych konsekwencji atakowania obywateli USA, gdzie istniały już przepisy w oparciu o które mógł zostać skazany.
Co ciekawe, infrastruktura niezbędna do przeprowadzenia ataku oraz zebrania jego plonów została stworzona z odpowiednim wyprzedzeniem. W Panamie w kwietniu 1989 została założona firma PC Cyborg Corporation. Jej wpisani do rejestru dyrektorzy Kitain Mekonen, Asrat Wakjira i Fantu Mekesse nigdy nie zostali namierzeni – nie wiadomo nawet, czy kiedykolwiek istnieli, podobnie jak kenijski biznesmem E. Ketema, który najpierw wynajął tymczasowe biuro w Londynie a następnie kupił wspomniane listy adresowe, rzekomo w celu reklamowania oprogramowania wyprodukowanego w Nigerii.
Koń trojański docierał do odbiorców w białej kopercie zawierającej dyskietkę 5,25 cala opisaną „AIDS Information Introductory Diskette Version 2.0” oraz niebieską kartkę z wydrukowaną drobnym maczkiem licencją. Sam program był napisany w języku QuickBASIC3.0 i składał się z dwóch plików – INSTALL.EXE i AIDS.EXE.
INSTALL.EXE Sept 28 1989 146188 bytes AIDS.EXE Aug 7 1989 172562 bytes
O ile ten drugi był niewinny i odpowiadał za zapowiadane działanie programu, o tyle INSTALL.EXE zajmował się niejawną częścią operacji. Po jego uruchomieniu zakładał na dysku C 5 zagnieżdżonych, ukrytych folderów, z nazwami składającymi się ze znaków HEX255. W ostatnim, najgłębiej zagnieżdżonym folderze, program przechowywał swoje informacje takie jak licznik restartów komputera czy numer licencji. Kopiował także program AIDS.EXE do głównego katalogu dysku C oraz modyfikował plik AUTOEXEC.BAT.
Plik AUTOEXEC.BAT zapewniał uruchomienie programu przy każdym starcie systemu. Program wtedy sprawdzał, czy został osiągnięty licznik restartów i jeśli nie, to zwiększał go o 1 i się wyłączał. W przeciwnym razie następowała faza druga – szyfrowania. Tutaj program ustępował współczesnym konkurentom – ale na jego usprawiedliwienie możemy dodać, że kryptografia asymetryczna nie była wówczas zbyt popularna. Program najpierw generował listę plików i folderów a następnie szyfrował, korzystając ze specjalnej tablicy z kluczem symetrycznym, nazwy plików i ich rozszerzeń po czym nadawał im atrybuty ukryty oraz tylko do odczytu. Traktował tak wszystkie pliki oprócz kilku niezbędnych do uruchomienia komputera. Poniżej znajdziecie przykładowy kod w BASICu odszyfrowujący nazwy plików:
10 A$ = "!#$%&'()-0123456789@ABCDEFGHIJKLMNOPQRSTUVWXYZ_$^" 20 B$ = "S(3W7$B%29FY$JET)M-LU_@8!'Q#DAPC1RXZH&6GOKVNI^045" 30 INPUT T$ 40 O$ = "" 50 FOR COUNT = 1 TO LEN(T$) 60 O$ = O$ + MID$(A$,INSTR(B$,MID$(T$,COUNT,1)),1) 70 NEXT 80 PRINT O$ 90 END
Kolejna faza infekcji jest chyba najciekawsza – program udaje w niej system operacyjny. Użytkownik jest oszukiwany, by myślał, że znajduje się w normalnej sesji systemu DOS. Na przykład wydanie polecenia DIR skutkuje wyświetleniem prawdziwej listy plików sprzed szyfrowania plus nieistniejącego pliku README, zawierającego instrukcję zapłacenia okupu. Z kolei próba restartu komputera poprzez klawisze Alt+Ctrl+Del jest przechwytywana i program symuluje restart. Działa jedynie wyłączenie zasilania, lecz program uruchamia się po starcie komputera. Ominąć można go jedynie poprzez uruchomienie systemu z dyskietki, lecz wtedy widoczny jest jedynie plik z żądaniem okupu (pozostałe są ukryte).
Sam program INSTALL.EXE zdaniem osób, które go analizowały, nie był szczytem techniki. Stosował kilka sprytnych sztuczek, m. in. szyfrował zawarte w nim ciągi tekstowe, jednak wykorzystywał dość proste mechanizmy. Samo „szyfrowanie” plików, oparte o algorytm symetryczny z kluczem obecnym w kodzie programu, okazało się być łatwe do pokonania. Kilka tygodniu po pojawieniu się konia trojańskiego udostępnione zostały (oczywiście drogą korespondencyjną oraz w serwisach BBS) dwa programy ratunkowe: AIDSOUT, usuwający złośnika oraz AIDSCLEAR, odzyskujący wszystkie dane z dysku. Niestety dla niektórych ofiar było już za późno – pewien instytut badawczy we Włoszech spanikował i sam skasował zaszyfrowane dane zawierające wyniki wielu lat pracy naukowców.
Podsumowanie
Dr Popp oryginalnym planem zdobycia fortuny znacząco wyprzedził swoje czasy. Mimo wielu ograniczeń takich jak brak internetu czy bitcoinów skonstruował atak ransomware na masową skalę, który miał szanse powodzenia. Szybka reakcja ówczesnej społeczności użytkowników komputerów oraz problemy psychiczne autora programu sprawiły, że nie odniósł on zamierzonego efektu. Choć trudno chwalić autorów koni trojańskich, to doceniamy jego pomysłowość.
Źródła: Medium, VX Heaven, Virus Bulletin 01/1990
Komentarze
Świetny tekst :) Jak dawno nie widziałem programu w BASICu, może nie licząc listingów w skanach Bajtka ;)
Nieźle facet nakombinował. Trochę trudniej to ocenić dzisiaj, kiedy znamy tyle sprytniejszych rozwiązań, ale wtedy to miało ręce i nogi. Z technicznego punktu widzenia, bo moralnie to nie miało ;)
Ciekawe ile osób (podmiotów) wysłało pieniądze.
Destruktywny wirus w QuickBASICu z szyfrowaniem plików… :D
Że też to w ogóle działało… :)
: wirusy na Mac’a też wgrywa się z dyskietki, ale wpierw trzeba je zakupić w Apple Store… :)
BTW: To ja już wolałem te z melodyjkami, piłeczkami, spadającymi literkami… były takie trochę zabawne (dopóki nie leciały wipem po całym dysku) i robiły multitasking pod DOSem… ;)
… i jeszcze pamiętam te demonstracje efektów specjalnych wirusów w DOSowym MKS_VIR – to było epickie… ;)
To był jedyny program z taką wbudowaną encykopedią wirusów i jedyny taki czas w historii kompów… ;>
O tak, ta funkcja MKS_VIRa rządziła :) Na Amidze był jeszcze Virus Expert, który zawierał bazę wirusów w dobrym stanie. Można było sobie nagrać każdego na dyskietkę i poogladać w działaniu. Dzięki temu miałem trochę strat w swoich zbiorach :)
Pamiętam te czasy. Miałem komputer z procem Cyrixa (klonem 486DX Intela).
Mks_Vir nieżyjącego już Marka Sella – oprócz NC to był program obowiązkowy.
.
Ale nie wspominam tego z rozrzewnieniem: MS-DOS potrafił się zawieszać, dyski twarde były drogie, dyskietki zawodne, monitor monochromatyczny. Żałuję że wtedy ktoś mną nie pokierował i nie pokazał mi UNIXA, byłbym o lata świetlne do przodu.
Współczesne czasy są o niebo ciekawsze…
Najgorsze to były te dyskietki. Jak się chciało coś zgrać na np. 30 dyskietek, to zawsze jakaś padła, chyba że były prosto z pudełka, albo jak były mozolne sprawdzanie…
A Linux bez Internetu, bez gier i z instalatorem mającym domyślnie „przydziel automatycznie [CAŁY!] dysk dla Linux”… :D
Ostatnio wyszperałem na wiekowej dyskietce MKS_vir z demami. Ileż zabawy było :) Szczególnie mi się podobał wirus, który przy użyciu PC speakera mówił po polsku :) Coś o Wałęsie było, do tego jakieś przekleństwa. Kiedyś przy takim przeglądaniu dyskietek złapałem wirusa sprzed 20 lat. Działał, zacinał komputer (losowo zmieniał co jakiś czas jakieś bity w pamięci, więc wyniki były nieprzewidywalne) i co najważniejsze – wykrył go zaraz BIOS, ale co tam BIOS może wiedzieć – zignorowałem ostrzeżenie :)
Ale to były czasy, kiedy FDISC i formatka czyściły kompa z ówczesnego malware. A żaden software nie niszczył fizycznie hardware’u. No i chłodzenia wymagał tylko zasilacz.
Niektóre już coś tam powoli próbowały, np. popatrzcie na ustawienia BIOSu po odpaleniu tego wirusa:
https://www.youtube.com/watch?v=5WEe-TNw8Z0&feature=player_detailpage#t=43
Jeszcze znany był programowy atak na głowice w FDD… :D
Ten fejkowy DOS, przechwycenie CTRL+ALT+DEL i udawanie reboota też jest niezłe.
Każdy myślał, że włoży swoją ulubioną dyskietkę startową, klepnie 3 klawisze i jest w domu, a tu lipa… :D Szczególnie, jak np. Basia radziła się na szybko kogoś przez telefon, co robić i dawała raport, że dyskietka startowa też nie działa, bo próbowała już 3 razy restartować… Scenariusz, jak z horroru… :>
„…odpowiednik bitcoinów sprzed lat – czyli skrzynkę pocztową w Panamie…”
dobre dobre :D
Szaleni naukowcy jednak istnieją :D
co Panowie marzy sie z ta wiedza przeniesc w tamte czasy ?? Swoja droga fajny art mzoe w przyszlosci cos o scenie warezowej ? Razor/FairLight/Phrozen Crew/ itd historie grup warezowych to bardzo fajny material na art..
Ten program był często rozsyłany do instytutów naukowych z Rosji/ZSRR, czyli wówczas jedynym miejscu gdzie były komputery. Rosjanie mieli własnego antywirusa na ten program wkrótce po ukazaniu się jego „dodatkowych” właściwości. Jak znam Rosjan to mogli bardzo szybko zwrócić uwagę wszystkich możliwych służb danego kraju na doktora.
Warto też zauważyć i docenić „ludzką” stronę infekcji. To znaczy, odwołanie się do tematu, który wówczas był dość interesujący dla wszystkich i bardzo na czasie – więc raczej każdy odpaliłby ten program, choćby z ciekawości.