SiliVaccine: tak Korea Północna szpieguje swoich obywateli

0

W ramach wyjątkowego badania, badacze firmy Check Point Software Technologies przeprowadzili odkrywcze dochodzenie w sprawie SiliVaccine, krajowego oprogramowania antywirusowego w Korei Północnej. Jednym z kilku interesujących odkryć jest to, że kluczowym elementem kodu SiliVaccine jest 10-letnią kopią jednego z komponentów oprogramowania japońskiej firmy Trend Micro.

Badanie to rozpoczęło się w momencie, gdy zespół badawczy Check Pointa otrzymał bardzo rzadką próbkę północnokoreańskiego oprogramowania antywirusowego „SiliVaccine” od Martyna Williamsa, niezależnego dziennikarza specjalizującego się w technologii Korei Północnej. Pan Williams sam otrzymał oprogramowanie jako link w podejrzanej wiadomości e-mail wysłanej do niego 8 lipca 2014 roku przez kogoś, kto będzie nazywał się „Kang Yong Hak”. Od tego czasu skrzynka pocztowa tego nadawcy stała się nieosiągalna.

Dziwny email wysłany przez „Kang Yong Hak”, rzekomo japońskiego inżyniera, zawierał link do zzipowanego pliku w Dropboksie, który zawierał kopię oprogramowania SiliVaccine, plik readme w języku koreańskim, instruujący jak używać tego oprogramowania oraz podejrzanie wyglądający plik pozujący jako poprawka aktualizacyjna do SiliVaccine.

Silnik skanowania AV Trend Micro

Po szczegółowej analizie kryminalistycznej plików silnika SiliVaccine (komponent oprogramowania, który zapewnia podstawowe możliwości skanowania plików antywirusowych), zespół badawczy Check Pointa odkrył dokładne dopasowanie SiliVaccine do dużych części 10-letniego kodu silnika antywirusowego należącego do Trend Micro, całkowicie odrębnego japońskiego dostawcy rozwiązań w zakresie bezpieczeństwa cybernetycznego. Dzięki temu, programiści, którzy zbudowali SiliVaccine, mogli mieć dostęp do skompilowanej biblioteki z dowolnego komercyjnego produktu Trend Micro lub – teoretycznie – dostęp do kodu źródłowego.

Oczywiście, celem antywirusa jest zablokowanie wszystkich znanych sygnatur złośliwego oprogramowania. Jednak głębsze badania nad szczepionką SiliVaccine wykazały, że została ona zaprojektowana tak, aby przeoczyć jeden szczególny znak, który zwykle powinien być blokowany i który jest blokowany przez silnik wykrywający Trend Micro. Chociaż nie jest jasne, jaka jest to sygnatura, to oczywiste jest, że reżim Korei Północnej nie chce ostrzegać przed nią swoich użytkowników.

Czytaj również:  SherLOCK od Aliora

Dołączone do zestawu złośliwe oprogramowanie.

Jeśli chodzi o plik z rzekomą aktualizacją dodatku, stwierdzono, że jest to złośliwe oprogramowanie JAKU. Nie było częścią programu antywirusowego, ale mogło zostać włączone do pliku zip jako sposób na dotarcie do dziennikarzy takich jak pan Williams.

Krótko mówiąc, JAKU to bardzo odporny botnet tworzący złośliwe oprogramowanie, który zainfekował około 19 000 ofiar, głównie poprzez udostępnianie plików BitTorrent. Widzimy jednak, że jest on ukierunkowany na konkretne ofiary w Korei Południowej i Japonii, w tym na członków międzynarodowych organizacji pozarządowych, firmy inżynieryjne, naukowców i pracowników rządowych.