[Aktualizacja] Jak polski koń trojański z roku 1999 przejął w 2018 kontrolę nad światem

Powstały 20 lat temu polski koń trojański jest od kilku lat jednym z najczęściej wykrywanych rodzajów złośliwego oprogramowania na całym świecie. Tak przynajmniej uparcie twierdzi jeden z dużych dostawców rozwiązań bezpieczeństwa.

Kilka dni temu przez polskie media przetoczyła się wiadomość o zaskakującej dominacji konia trojańskiego o wdzięcznej nazwie Prosiak. Cytując raport dotyczący ataków spotykanych w Polsce w drugiej połowie roku 2018 liczne serwisy, w tym także branżowe, śmiało przytaczały nastepujące statystyki:

Interesującym przypadkiem jest pochodzące z Polski złośliwe oprogramowanie o nazwie Prosiak. Jest to wirus, którego aktywność odnotowano najczęściej nie tylko w Polsce (ponad 270 tysięcy przypadków), ale też na świecie (prawie 28 milionów przypadków).

Polski koń trojański, który zdominował scenę cyberzagrożeń nie tylko w kraju, ale także za granicą? Wygląda to na temat warty głębszej analizy. Sięgnęliśmy zatem do historii i ustaliliśmy, że analogiczne wyniki przedstawione zostały przez przedstawiciela tej samej firmy już w marcu 2019 na konferencji SEMAFOR. Oto zdjęcie slajdu:

Slajd z konferencji SEMAFOR

Tak, wzrok was nie myli. W32/Backdoor.Prosiak.65 nie tylko był najczęściej spotykanym wirusem w drugiej połowie 2018 roku na całym świecie, ale wręcz zdominował konkurencję. Prosiaków znaleziono prawie 28 milionów, podczas kiedy drugie na liście zagrożenie odnotowało zaledwie niecałe 7 milionów przypadków. Skąd ta nagła popularność?

Atak zza grobu

Jeśli należycie do grona młodszych miłośników bezpieczeństwa to pragniemy poinformować, że Prosiak swój debiut miał w grudniu roku 1998 (wersja 0.21), a rozwój oprogramowania został zakończony około roku 2000 na wersji 0.7.

Zrzut ekranu konfiguratora

Wywiad z autorem Prosiaka (udało nam się do niego dotrzeć) znajdziecie na końcu artykułu. Prosiak był klasycznym wówczas koniem trojańskim, który umożliwiał denerwowanie zainfekowanej osoby np. przez mruganie monitorem czy inne dziwne, niewytłumaczalne zjawiska. Pełny opis funkcji Prosiaka wraz ze zrzutami ekranów znajdziecie w tym świetnym artykule. Co zatem tak wiekowy koń trojański robi w raportach i publikacjach prasowych w roku 2019? To bardzo dobre pytanie.

To trwa od lat

Postanowiliśmy znaleźć moment, w którym Prosiak zmartwychwstał i ponownie wkroczył na scenę cyber. W tym celu przejrzeliśmy dziesiątki dokumentów i prezentacji, znajdując liczne przypadki jego wystąpień – wszystkie autorstwa jednej i tej samej firmy. Poniżej prezentujemy je w ujęciu chronologicznym. Okazuje się, że Prosiak od 2016 do 2018 był na czele listy zagrożeń, a czasami wręcz kilkunastokrotnie dominował nad konkurencją.

Tygodniowe statystyki z lipca 2016

W pierwszej połowie 2016 Prosiak prowadzi w globalnym rankingu złośliwego oprogramowania



W tygodniowych raportach między kwietniem a październikiem 2017 Prosiak regularnie ląduje w top 5 zagrożeń

Czwarty kwartał 2017 – Prosiak w czołówce

Drugi kwartał 2018 – Prosiak 18-krotnie wyprzedza drugiego na liście GandCraba!

Potwierdzenie globalnej dominacji w drugiej połowie roku 2018

Skąd zatem ten Prosiak?

Biorąc pod uwagę fakt, że Prosiak pojawił się raportach tego dostawcy, po 15 latach nieaktywności, w pierwszej połowie 2016 (a przynajmniej takie ślady udało nam się znaleźć) i trwa tam do tej pory mimo braku jakichkolwiek innych śladów (brak nowych próbek na VirusTotal, brak wzmianek w raportach innych firm i organizacji), obstawiamy, że jest to fatalny błąd w sygnaturach firmy, która go „wykrywa”. Ta sytuacja powoduje jednak, że w naszych głowach pojawiają się liczne pytania, na które trudno znaleźć nam odpowiedzi:

Dlaczego autorzy raportu przez trzy lata nie zwrócili uwagi na nagłą dominację niszowego konia trojańskiego sprzed prawie 20 lat?

Dlaczego osoby prezentujące te raporty na różnych konferencjach i w mediach przez trzy lata nie sprawdziły, skąd biorą się takie niecodzienne dane i nie spowodowały ich korekty?

Dlaczego nikt nigdy nie zakwestionował publicznie wiarygodności tych danych? (szukaliśmy długo, nie znaleźliśmy żadnych śladów wątpliwości)

Ile w tym kontekście warte są pozostałe dane płynące z raportów tego dostawcy oraz analogicznych raportów innych producentów?

Zwróciliśmy się z prośbą o wyjaśnienia do wspomnianego dostawcy. Mamy nadzieję je kiedyś otrzymać i opublikować. Tymczasem zapraszamy do lektury krótkiego wywiadu, którego był nam miły udzielić Paweł – twórca Prosiaka, który pragnął jednak zachować pewien stopień anonimowości.

Wywiad z twórcą Prosiaka

Ile miałeś lat, gdy stworzyłeś Prosiaka? Mignęło mi gdzieś w internecie, że byłeś wtedy studentem. Jeśli to prawda, to co studiowałeś?

Najstarsza wersja udostępniona (0.21) jest z 15 grudnia 1998 (miałem wtedy 23 lata), byłem studentem Elektrotechniki na Politechnice Lubelskiej.

Prosiak istniał już trochę wcześniej, ale ile czasu… nie pamiętam.



Co zmotywowało Cię do napisania takiego programu?



Prosiak pierwotnie służył do „administrowania”… czytaj robienia żartów w pracowni komputerowej w bibliotece uczelni.

Jak długo w sumie nad nim pracowałeś? Jaki był harmonogram prac? Pamiętasz daty wydania kolejnych wersji? Ile ich łącznie było i skąd takie dziwne numery?

Prosiak został napisany w Delphi (kto dzisiaj o czymś takim pamięta…). Nie mam kodów źródłowych do nowszych wersji, trudno ustalić, kiedy powstały.

0.21 – 15 grudnia 1998

0.25 – 20 Grudnia 1998

0.26 – 28 Grudnia 1998

0.33 – ???

0.45 – 7 stycznia 1999

0.5 – ???

0.6 – ???

0.7 beta ? – ?

Dziwne numery? Mi się wydawały normalne. Był nawet spory odzew ludzi, betatesterów :) ale nie zachowały się do dzisiaj żadne maile.

Jakie funkcje miała pierwsza wersja i jak się program potem rozwinął?

Dołączam plik tekstowy z wersji 0.21. Niewiele szczegółów pamiętam z tamtych czasów, to było prawie 20 lat temu.

Kiedy i dlaczego zaprzestałeś rozwijania Prosiaka?



Przede wszystkim koniec studiów. Przestałem go rozwijać kolo 2000 roku.

Jak doszło do jego „uwolnienia” do internetu?



Sam go uwolniłem, nie pamiętam, w jaki sposób, pewnie strona internetowa na serwerze uczelni.

Jak się zapatrujesz na to, że program mógł być używany do niecnych celów?

Od początku Prosiak był zrobiony do niecnych celów, ale nie było to raczej niszczenie, tylko żarty. Siedliskiem Prosiaków były przede wszystkim wszelkie laboratoria/pracownie na uczelniach, stale podłączone do internetu.



Czy miałeś z tego powodu jakieś problemy?



Nie, nigdy, ale też nie chwaliłem się zbytnio. O Prosiaku wiedziało tylko kilka osób ze studiów.

Czym się zajmujesz teraz? Nadal coś programujesz?

Tak, pracuję obecnie jako programista Javy w branży niezwiązanej z bezpieczeństwem/security. W wolnym czasie rozwiązuję zadania typu CTF lub pokrewne jak np. https://rabbithole.nokiawroclaw.pl/ czy dawniej rozwal.to Sekuraka.

PS. Jako ciekawostkę mogę dodać ze Prosiak posiadał backdoora :) Niezależnie jakie hasło się ustaliło, działało dodatkowo hasło „commodore6”.

Aktualizacja 2019-06-14: Oświadczenie zespołu FortiGuard Labs

Jako firma specjalizująca się w cyberbezpieczeństwie przetwarzamy ogromne ilości danych. Istnieje wiele sposobów na ich zaprezentowanie w postaci statystyk. Podczas ostatniej konferencji „Semafor” w Polsce pokazaliśmy następujący slajd:

Zaskoczeniem dla nas było to, że 20-letni polski malware „Prosiak 65” okazał się wirusem najczęściej wykrywanym przez nasze czujniki w poprzednim półroczu. Podczas prezentacji przedstawiciel Fortinet zaznaczył, że statystyka ta stanowi pewną anomalię i wskazał publiczności, że weryfikował ją wspólnie z analitykiem danych.

To samo złośliwe oprogramowanie znalazło się na liście Top 5 Global Malware w naszym raporcie FortiGuard Threat Report przy wielu okazjach (30 czerwca 2017 roku i 24 listopada 2017 roku), ale dlaczego próbka martwego wirusa sprzed prawie 20 lat miałaby pojawiać się tak licznie w naszych ogólnoświatowych statystykach?

„Prosiak 65″ został zaobserwowany pierwszy raz prawie 20 lat temu. Podobnie jak w przypadku wielu innych starszych wersji złośliwego oprogramowania, nadal znajduje się on w obiegu. Podczas gdy ogólne rozpowszechnienie „Prosiaka 65” zmniejszyło się we wszystkich lokalizacjach, wciąż obserwujemy jego powtarzającą się aktywność – w tym wzrost w 2018 r. i w ciągu ostatnich sześciu miesięcy.

Istnieje kilka powodów, dla których takie stare złośliwe oprogramowanie może być wykrywane przez nasze systemy:

może być naprawdę nadal aktywne (przez pojęcie „aktywne” rozumiemy bycie widzianym przez nasz silnik AV, dlaczego jest aktywne – to inne pytanie);

może współdzielić komponenty z nowszym rodzajem złośliwego oprogramowania, dla którego nasze sygnatury są wyzwalane;

może to być wynik false positive.

Aby ustalić właściwy powód, nasz zespół zbadał dokładnie temat i uważamy, że podpis W32/BackDoor.Prosiak.65 poprawnie identyfikuje próbkę znalezioną na VirusTotal. Z naszych wewnętrznych testów wynika, że choć bardzo stare, to złośliwe oprogramowanie może nadal działać i infekować pliki w systemach Windows XP i Windows 7.

Nasze badanie wykazało, że chociaż skokowy wzrost przypadków wykrycia jest duży pod względem wielkości, to jednak jego rozpowszechnienie jest niskie. Na przykład w naszym „Global Threat Landscape report” za IV kwartał 2017 r. „Prosiak 65” był widziany u mniej niż 1% firm. W pomiarach przeprowadzonych w ciągu ostatnich 30 dni wykryto go na mniej niż 1000 urządzeń.

Jednak całkowita liczba wykryć w tym samym czasie pochodząca z tych urządzeń wyniosła około 665 000, przy czym większość źródeł tych wykryć pochodziła z sieci naszych największych klientów ISP, bez szczególnego uwzględnienia regionu czy branży. Dokładne przyczyny takiego wyniku są w tej chwili niejasne i nadal je badamy.

Przy ponad 5 milionach urządzeń sprzedanych na całym świecie, wykrycia pochodzące z 1000 z nich mogą brzmieć trywialnie, ale 665 000 przypadków – już nie. Wyzwaniem, przed którym stoimy, prezentując takie informacje, jest przedstawienie ich w odpowiednim kontekście w sposób spójny i użyteczny. Musimy też upewnić się, że nie manipulujemy danymi, aby wyglądały „wygodnie” lub nie naginamy ich do komunikatu, który chcemy przekazać. Dlatego też stosujemy proces „peer-review”, oceny wzajemnej, aby zapewnić dokładność informacji i sposób ich prezentowania.

Wnioski

Czy podane informacje są błędne? Nie mamy podstaw, by tak sądzić, chociaż nadal to sprawdzamy. Uważamy jednak, że ranking jest zniekształcony przez dużą liczbę wykryć z relatywnie małej liczby urządzeń. O tym właśnie mówiliśmy na konferencji „Semafor”.

Czy wymaga to dalszego dochodzenia? Na pewno anomalne informacje takie jak ta są analizowane przez naszych naukowców i zespół FortiGuard Threat Research, abyśmy mogli dowiedzieć się o nich więcej.

Czy musimy przyjrzeć się temu, jak prezentujemy nasze dane? Być może, nie chcemy jednak wykluczać informacji, aby uczynić je wygodniejszymi i pasującymi do narracji.

Po prezentacji otrzymaliśmy informację od zewnętrznych analityków zagrożeń, że również oni uznali te dane za zaskakujące i szczególnie interesujące ze względu na polskie pochodzenie złośliwego oprogramowania. Z wdzięcznością przyjmujemy takie informacje od społeczności, nawet jeśli są one sprzeczne z naszymi, ponieważ pomaga to wszystkim w zrozumieniu sytuacji.