The Clipboard

Virus Chernobyl CIH: come distrusse 60 milioni di PC e nessuno fu condannato

Virus Chernobyl CIH 1999 attacco BIOS 60 milioni PC
The Clipboard
  • Il 26 aprile 1999 il virus CIH (Chernobyl) infettò 60 milioni di computer worldwide, cancellando dati e danneggiando permanentemente l'hardware attraverso l'attacco al BIOS, causando 40 milioni di dollari di danni commerciali.
  • Il malware, creato dallo studente taiwanese Chen Ing-hau, usava la tecnica dello space filler per occultarsi negli spazi vuoti dei file eseguibili, aggirando gli antivirus dell'epoca e sfruttando exploit per ottenere accesso kernel.

Il 26 aprile 1999 rappresenta una data spartiacque nella storia della sicurezza informatica. Quel giorno, centinaia di migliaia di computer equipaggiati con Windows 95, 98 e ME smisero improvvisamente di funzionare in tutto il mondo, vittime di un codice malevolo dalla capacità distruttiva senza precedenti. Il responsabile era CIH, meglio conosciuto come virus Chernobyl, un programma di appena 1 kilobyte capace non solo di cancellare i dati, ma di danneggiare fisicamente l’hardware dei PC.

A distanza di 27 anni da quell’attacco, la vicenda del virus Chernobyl resta emblematica di un’epoca in cui le minacce informatiche potevano spingersi ben oltre il furto di dati o il rallentamento dei sistemi, arrivando a compromettere i componenti hardware delle macchine in modo permanente.

Un virus da un kilobyte con effetti devastanti

Chen Ing-hau, all’epoca studente presso la Tatung University di Taiwan, scrisse CIH nel 1998. Il virus si diffuse rapidamente durante l’estate di quell’anno, principalmente attraverso canali di software piratato, ma anche tramite fonti insospettabili e del tutto legittime. Alcuni PC IBM Aptiva furono spediti con il virus preinstallato nel marzo 1999, un mese prima della data di attivazione. Anche Yamaha distribuì un aggiornamento firmware infetto per i suoi masterizzatori CD-R400, mentre copie del tool Back Orifice 2000 distribuite al DEF CON 7 nel luglio dello stesso anno contenevano il malware.
Si stima che CIH abbia infettato circa 60 milioni di computer in tutto il mondo, causando danni commerciali per circa 40 milioni di dollari. Il soprannome Chernobyl deriva dalla coincidenza tra la data di attivazione del virus, il 26 aprile, e l’anniversario del disastro nucleare di Chernobyl avvenuto nel 1986.

Leggi anche:  Il worm AI che si autoalimenta: perché gli esperti sono preoccupati

La tecnica dello space filler

Ciò che rendeva CIH particolarmente insidioso era il suo metodo di occultamento. A differenza dei virus tradizionali che aggiungevano codice alla fine dei file eseguibili aumentandone le dimensioni, CIH operava come space filler virus. Il malware scansionava i file Portable Executable di Windows alla ricerca di spazi vuoti tra le sezioni di codice e suddivideva il proprio payload in queste cavità inutilizzate.

I file infetti mantenevano le dimensioni originali, aggirando i controlli basati sulla dimensione dei file su cui si affidavano molti antivirus dell’epoca. Con una dimensione di circa 1 KB, il virus riusciva a distribuirsi attraverso molteplici piccoli spazi all’interno di un singolo file eseguibile.

Una volta in esecuzione, CIH sfruttava un exploit per passare dal ring 3 al ring 0 del processore, ottenendo accesso a livello kernel. Questo gli permetteva di intercettare le chiamate al file system e infettare silenziosamente ogni eseguibile aperto dall’utente. Il virus funzionava esclusivamente su Windows 95, 98 e ME, mentre Windows NT ne era immune.

Il doppio payload distruttivo

Quando si attivava, CIH eseguiva un doppio attacco. Per prima cosa, sovrascriveva con zeri il primo megabyte del disco di avvio, distruggendo la tabella delle partizioni e rendendo inaccessibili tutti i contenuti del disco. Successivamente, tentava di scrivere dati casuali nel chip BIOS della scheda madre.

Se quest’ultima operazione andava a buon fine, il computer diventava completamente inutilizzabile e non si accendeva più senza la sostituzione fisica del chip. L’attacco al BIOS funzionava principalmente su sistemi dotati di chipset Intel 430TX con memoria flash non protetta.

Perché il creatore del virus Chernobyl non fu mai condannato

Questa è la parte più assurda della storia.

Leggi anche:  Fitbit Air: il tracker senza schermo da 99 euro con Google Health

Nonostante la portata dei danni — 60 milioni di PC, danni per centinaia di milioni di dollari, infrastrutture aziendali distrutte in decine di paesi — Chen Ing-hau non fu mai condannato.
I procuratori taiwanesi non poterono incriminarlo perché nessuna vittima taiwanese si presentò con una denuncia formale, come richiesto dalla legislazione locale dell’epoca. La legge taiwanese del 1999 non prevedeva una norma che consentisse azioni d’ufficio per crimini informatici senza querela diretta.
Chen sostenne pubblicamente di aver scritto CIH per dimostrare che i produttori di antivirus sopravvalutavano le capacità di rilevamento dei loro software. Una motivazione che, paradossalmente, lo stesso mercato degli antivirus contribuì ad amplificare nelle settimane successive all’attacco. L’unica conseguenza legale fu indiretta: l’incidente spinse Taiwan ad approvare una nuova legislazione sui crimini informatici che colmava esattamente la lacuna sfruttata da Chen per sfuggire alla condanna. Troppo tardi per 60 milioni di computer già distrutti.

Il virus Chernobyl oggi: potrebbe succedere ancora?

Il BIOS moderno è stato sostituito dallo standard UEFI, introdotto da Intel nel 2006 e oggi universale. L’UEFI include Secure Boot, una funzione che verifica la firma digitale del firmware prima di eseguirlo — rendendo molto più difficile sovrascriverlo da un processo non autorizzato.
Ma non impossibile. Nel 2018, ESET documentò LoJax, il primo malware capace di sopravvivere alla reinstallazione del sistema operativo riscrivendo l’UEFI — attribuito al gruppo russo APT28. Nel 2022, Kaspersky documentò CosmicStrand, un rootkit UEFI ancora più sofisticato.Il concetto di Chernobyl — un virus che distrugge il firmware anziché i dati — non è morto. Si è evoluto. Oggi è nelle mani di gruppi statali, non di studenti universitari.

Leggi anche:  Google I/O 2026 si terrà il 19 Maggio

Cosa ci ha insegnato il virus Chernobyl

La storia di CIH ha lasciato tre lezioni concrete nel settore della cybersecurity:
La prima riguarda la superficie di attacco hardware: prima di Chernobyl, nessuno considerava seriamente che un software potesse distruggere fisicamente un computer. Dopo il 1999, i produttori di schede madri iniziarono a implementare protezioni fisiche sulla memoria flash del BIOS.
La seconda riguarda la distribuzione involontaria: il fatto che IBM e Yamaha abbiano distribuito il virus attraverso canali ufficiali ha mostrato che anche le supply chain legittime possono diventare vettori di attacco — un principio oggi centrale in ogni framework di sicurezza aziendale.
La terza riguarda il vuoto legislativo: nessun paese nel 1999 era attrezzato per gestire un crimine informatico di quella portata. Le leggi esistevano, ma non prevedevano un attacco simultaneo globale da parte di un singolo individuo senza intenzione di profitto.

Fonte

openai getty images
Getty Images porta le sue foto su ChatGPT: accordo pluriennale con OpenAI
Swaptopus octopus energy
Cos’è Swaptopus, la joint venture tra Octopus Energy e CATL per il battery swap sui camion europei
pixel audio memory
Google Pixel Audio Memory: la funzione che ascolta tutto il giorno
tata electronics
Tata Electronics hackerata: a rischio più di 200.000 documenti riservati Apple e Tesla
polymarket
Polymarket sotto esame: avrebbe usato video falsi per truffare gli utenti