AIDS, dyskietki i skrzynka pocztowa w Panamie, czyli ransomware sprzed 26 lat

dodał 29 marca 2015 o 20:29 w kategorii Złośniki  z tagami:
AIDS, dyskietki i skrzynka pocztowa w Panamie, czyli ransomware sprzed 26 lat

Większość z Was pewnie spotkała się już z programami szyfrującymi pliki i żądającymi od użytkowników okupu w zamian za dane. Mało kto jednak wie, że pierwszy przypadek takiego wymuszenia na dużą skalę miał miejsce już w roku 1989.

Jak przed epoką internetu zainfekować tysiące komputerów złośliwym oprogramowaniem, zaszyfrować znajdujące się na nich pliki i poprosić ich właścicieli o okup i anonimowo go inkasować? Problem wydaje się dość złożony – a mimo tego pewien naukowiec mu podołał.

Metoda dystrybucji konia trojańskiego i poboru opłaty

W dzisiejszych czasach ransomware przybywa w postaci załączników do poczty udających faktury czy też programów pobieranych przez nieświadomych użytkowników nieaktualnych wtyczek do przeglądarek. Nasz bohater, koń trojański AIDS, 26 lat temu nie miał takich udogodnień – dlatego przybywał także pocztą, tyle że tradycyjną, na dyskietkach 5,25 cala. W grudniu 1989 roku do wielu osób i instytucji na całym świecie zaczęły trafiać przesyłki, nadawane przez firmę PC Cyborg Corporation. Skala dystrybucji określana przez różne źródła waha się od 10 do 20 tysięcy dyskietek rozesłanych do 90 krajów świata. Zawierały one program wyświetlający interaktywną ankietę, której celem była ocena, na ile osoba ankietowana narażona jest na zarażenie wirusem HIV. Program faktycznie działał – ale miał także ukryte funkcje. Sprawiały one, że po 90 restarcie komputera pojawiała się informacja o konieczności włączenia drukarki. Gdy drukarka była już uruchomiona, program drukował… list z żądaniem okupu.

Ekran powitalny oficjalnego programu

Ekran powitalny oficjalnego programu

Żądanie okupu było dość zawoalowane i ukryte pod pojęciem opłaty licencyjnej za korzystanie z programu. Odpowiednia informacja znajdowała się w samym programie, a użytkownicy byli proszeni o przesłanie kwoty 189 dolarów na odpowiednik bitcoinów sprzed lat – czyli skrzynkę pocztową w Panamie. Aby lepiej zmotywować użytkownika do wniesienia opłaty program szyfrował zawartość dysku, na którym się znajdował, a w zamian za uiszczenie opłaty obiecywał przesłanie narzędzia odszyfrowującego dane. Zarówno metoda, jak i skala ataku nie pojawiła się nigdy wcześniej, a i przez wiele lat nie znalazła naśladowców – aż do naszych czasów. Kto wykazał się tak niezwykle wizjonerskim pomysłem?

Sfrustrowany doktor

Początkowo organy ścigania nie bardzo wiedziały, co robić z poszkodowanymi – w przepisach brakowało odpowiednich paragrafów. Brytyjski prokurator oparł się jednak na przepisach o oszustwie i w oparciu o skargi kilkunastu osób wszczął śledztwo. Sprawcą okazał się doktor. Joseph L. Popp, biolog zajmujący się kwestiami ewolucji z tytułem doktora z Harvardu. Sam doktor Popp był konsultantem WHO i aktywnie zajmował się badaniami nad AIDS. Przez jakiś czas pracował w Kenii, był także współorganizatorem konferencji naukowej poświęconej temu zagadnieniu. Na liście ofiar jego wysyłki znalazły się setki naukowców i instytutów badawczych, pracujących nad problemem AIDS. Skąd naraz pomysł zaatakowania kolegów po fachu? Jedna z teorii mówi, że krótko przed incydentem nie został przyjęty na etat w WHO i mogła być to forma zemsty. Brak jednak jednoznacznych przesłanek wskazujących motyw sprawcy.

Jak trafiono na jego ślad? To dość absurdalna historia. W Wigilię 1989, około 2 tygodnie po rozesłaniu wirusa doktor Popp wracał do USA z Nairobii, gdzie brał udział w konferencji naukowej. Jednym z najgorętszych tematów poruszanych w gazetach był już jego program. Na lotnisku w Amsterdamie najwyraźniej przeżył załamanie nerwowe, ponieważ zwrócił na siebie uwagę obsługi pisząc na walizce współpasażera „DR POPP ZOSTAŁ OTRUTY”. Przeszukanie jego bagażu wskazało na etykiety z nazwą firmy PC Cyborg Corporation. Ktoś szybko skojarzył fakty i doktor został zatrzymany i przekazany do Wielkiej Brytanii, gdzie toczyło się już śledztwo przeciwko niemu. W Londynie doktor kontynuował swoje wybryki – a to zakładał na nos prezerwatywę, a to na głowie nosił kartonowe pudełko. Po dwóch latach śledztwa doszło do procesu, w czasie którego na podstawie opinii psychiatrycznej został uznanym za niepoczytalnego i zwolniony z aresztu. Było to dużym rozczarowaniem dla organów ścigania, które po raz pierwszy zebrały cały łańcuch dowodów wskazujących na tożsamość autora złośliwego oprogramowania.

Teoria o niepoczytalności doktora ma wielu przeciwników – policja znalazła w jego bagażu pamiętnik, wskazujący, że całą akcję planował przez półtora roku i szykował produkcję kolejnych 2 milionów dyskietek. Doktor po powrocie do USA kontynuował karierę naukową, badał życie małp w Afryce aż w końcu otworzył całkiem popularną wystawę motyli pod Nowym Jorkiem.

A teraz przejdźmy do szczegółów

Jak został przeprowadzony innowacyjny atak? Na szczęście nie tylko my uznaliśmy go za ciekawy i kilku badaczy poświęciło mu sporo czasu, dzięki czemu możemy opowiedzieć Wam sporo ciekawostek na temat samego wirusa i całego ataku.

Komunikat z żądaniem okupu

Komunikat z żądaniem okupu

W roku 1989 nie było ataków drive-by-download ani spambotów, zatem doktor Popp musiał jakoś przygotować listę dystrybucji swojego wirusa. Oprócz listy uczestników konferencji poświęconej AIDS doktor najwyraźniej kupił listy użytkowników komputerów, w tym listę abonentów magazynu PC Business World. Tysiące kopert zawierających dyskietkę 5,25 wysłał do swoich ofiar 11 grudnia 1989 pocztą priorytetową z Londynu. Co ciekawe, choć na kupionych listach nie brakowało adresów znajdujących się w USA, żaden nie otrzymał przesyłki. Najwyraźniej doktor zdwał sobie sprawę z potencjalnych poważniejszych konsekwencji atakowania obywateli USA, gdzie istniały już przepisy w oparciu o które mógł zostać skazany.

Co ciekawe, infrastruktura niezbędna do przeprowadzenia ataku oraz zebrania jego plonów została stworzona z odpowiednim wyprzedzeniem. W Panamie w kwietniu 1989 została założona firma PC Cyborg Corporation. Jej wpisani do rejestru dyrektorzy Kitain Mekonen, Asrat Wakjira i Fantu Mekesse nigdy nie zostali namierzeni – nie wiadomo nawet, czy kiedykolwiek istnieli, podobnie jak kenijski biznesmem E. Ketema, który najpierw wynajął tymczasowe biuro w Londynie a następnie kupił wspomniane listy adresowe, rzekomo w celu reklamowania oprogramowania wyprodukowanego w Nigerii.

Koń trojański docierał do odbiorców w białej kopercie zawierającej dyskietkę 5,25 cala opisaną „AIDS Information Introductory Diskette Version 2.0” oraz niebieską kartkę z wydrukowaną drobnym maczkiem licencją. Sam program był napisany w języku QuickBASIC3.0 i składał się z dwóch plików – INSTALL.EXE i AIDS.EXE.

O ile ten drugi był niewinny i odpowiadał za zapowiadane działanie programu, o tyle INSTALL.EXE zajmował się niejawną częścią operacji. Po jego uruchomieniu zakładał na dysku C 5 zagnieżdżonych, ukrytych folderów, z nazwami składającymi się ze znaków HEX255. W ostatnim, najgłębiej zagnieżdżonym folderze, program przechowywał swoje informacje takie jak licznik restartów komputera czy numer licencji. Kopiował także program AIDS.EXE do głównego katalogu dysku C oraz modyfikował plik AUTOEXEC.BAT.

Plik AUTOEXEC.BAT zapewniał uruchomienie programu przy każdym starcie systemu. Program wtedy sprawdzał, czy został osiągnięty licznik restartów i jeśli nie, to zwiększał go o 1 i się wyłączał. W przeciwnym razie następowała faza druga – szyfrowania. Tutaj program ustępował współczesnym konkurentom – ale na jego usprawiedliwienie możemy dodać, że kryptografia asymetryczna nie była wówczas zbyt popularna. Program najpierw generował listę plików i folderów a następnie szyfrował, korzystając ze specjalnej tablicy z kluczem symetrycznym, nazwy plików i ich rozszerzeń po czym nadawał im atrybuty ukryty oraz tylko do odczytu. Traktował tak wszystkie pliki oprócz kilku niezbędnych do uruchomienia komputera. Poniżej znajdziecie przykładowy kod w BASICu odszyfrowujący nazwy plików:

Kolejna faza infekcji jest chyba najciekawsza – program udaje w niej system operacyjny. Użytkownik jest oszukiwany, by myślał, że znajduje się w normalnej sesji systemu DOS. Na przykład wydanie polecenia DIR skutkuje wyświetleniem prawdziwej listy plików sprzed szyfrowania plus nieistniejącego pliku README, zawierającego instrukcję zapłacenia okupu. Z kolei próba restartu komputera poprzez klawisze Alt+Ctrl+Del jest przechwytywana i program symuluje restart. Działa jedynie wyłączenie zasilania, lecz program uruchamia się po starcie komputera. Ominąć można go jedynie poprzez uruchomienie systemu z dyskietki, lecz wtedy widoczny jest jedynie plik z żądaniem okupu (pozostałe są ukryte).

Sam program INSTALL.EXE zdaniem osób, które go analizowały, nie był szczytem techniki. Stosował kilka sprytnych sztuczek, m. in. szyfrował zawarte w nim ciągi tekstowe, jednak wykorzystywał dość proste mechanizmy. Samo „szyfrowanie” plików, oparte o algorytm symetryczny z kluczem obecnym w kodzie programu, okazało się być łatwe do pokonania. Kilka tygodniu po pojawieniu się konia trojańskiego udostępnione zostały (oczywiście drogą korespondencyjną oraz w serwisach BBS) dwa programy ratunkowe: AIDSOUT, usuwający złośnika oraz AIDSCLEAR, odzyskujący wszystkie dane z dysku. Niestety dla niektórych ofiar było już za późno – pewien instytut badawczy we Włoszech spanikował i sam skasował zaszyfrowane dane zawierające wyniki wielu lat pracy naukowców.

Podsumowanie

Dr Popp oryginalnym planem zdobycia fortuny znacząco wyprzedził swoje czasy. Mimo wielu ograniczeń takich jak brak internetu czy bitcoinów skonstruował atak ransomware na masową skalę, który miał szanse powodzenia. Szybka reakcja ówczesnej społeczności użytkowników komputerów oraz problemy psychiczne autora programu sprawiły, że nie odniósł on zamierzonego efektu. Choć trudno chwalić autorów koni trojańskich, to doceniamy jego pomysłowość.

Źródła: Medium, VX Heaven, Virus Bulletin 01/1990