Zespół Check Pointa otrzymał rzadką próbkę północnokoreańskiego oprogramowania antywirusowego "SiliVaccine" od Martyna Williamsa, niezależnego dziennikarza specjalizującego się w technologii Korei Północnej. Williams otrzymał wcześniej oprogramowanie jako link w podejrzanej wiadomości e-mail wysłanej przez kogoś, kto miał nazywać się "Kang Yong Hak". Dziwny list, wysłany rzekomo przez japońskiego inżyniera, zawierał link do zzipowanego pliku w Dropboksie z kopią oprogramowania SiliVaccine, plik readme w języku koreańskim, instruujący jak używać tego oprogramowania oraz podejrzanie wyglądający plik pozujący jako poprawka aktualizacyjna do SiliVaccine.

Silnik skanowania AV Trend Micro

Po szczegółowej analizie kryminalistycznej plików silnika SiliVaccine (komponent oprogramowania, który zapewnia podstawowe możliwości skanowania plików antywirusowych), zespół badawczy odkrył dokładne dopasowanie SiliVaccine do dużych części 10-letniego kodu silnika antywirusowego należącego do Trend Micro, całkowicie odrębnego japońskiego dostawcy rozwiązań w zakresie bezpieczeństwa cybernetycznego. Dzięki temu programiści, którzy zbudowali SiliVaccine, mogli mieć dostęp do skompilowanej biblioteki z dowolnego komercyjnego produktu Trend Micro lub – teoretycznie - dostęp do kodu źródłowego. Celem antywirusa jest zablokowanie wszystkich znanych sygnatur złośliwego oprogramowania. Jednak głębsze badania nad szczepionką SiliVaccine wykazały, że została ona zaprojektowana tak, aby przeoczyć jeden szczególny znak, który zwykle powinien być blokowany. Nie jest jasne, jaka to sygnatura, lecz z pewnością reżim Korei Północnej nie chce ostrzegać przed nią obywateli.

Złośliwe oprogramowanie w zestawie

Jeśli chodzi o plik z rzekomą aktualizacją dodatku, stwierdzono, że jest to złośliwe oprogramowanie JAKU. Nie było częścią programu antywirusowego, ale mogło zostać włączone do pliku zip jako sposób na dotarcie do dziennikarzy takich jak  Williams.

JAKU to bardzo odporny botnet tworzący złośliwe oprogramowanie, który zainfekował około 19 000 ofiar głównie poprzez udostępnianie plików BitTorrent. Widzimy jednak, że jest on ukierunkowany na konkretne ofiary w Korei Południowej i Japonii, w tym na członków międzynarodowych organizacji pozarządowych, firmy inżynieryjne, naukowców i pracowników rządowych. W toku dochodzenia ustalono, że akta JAKU zostały podpisane wraz z certyfikatem wydanym "Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd.", tej samej spółce, która udostępniła podpisy plików innej znanej grupy APT, "Dark Hotel". Uważa się, że zarówno JAKU, jak i Dark Hotel są północnokoreańskimi organizacjami zagrażającym cyberbezpieczeństwu.

Przyłącze japońskie

Japonia i Korea Północna nie utrzymują przyjaznych stosunków politycznych lub dyplomatycznych, więc dziwne jest, że pierwszy e-mail zawierający kopię szczepionki SiliVaccine został wysłany przez obywatela Japonii. Badacze znaleźli również inne związki z krajem kwitnącej wiśni. Odkryto nazwy firm, które są autorami SiliVaccine. Są to: PGI (Pyonyang Gwangmyong Information Technology) i STS Tech-Service. Wiadomo, że STS Tech-Service współpracował z innymi przedsiębiorstwami, w tym z przedsiębiorstwami "Silver Star" i "Magnolia", które mają siedzibę w Japonii i wcześniej współpracowały z KCC (Korea Computer Center, podmiotem rządowym Korei Północnej). Zespół Check Pointa poinformował Trend Micro o zastosowaniu ich silnika wykrywającego w SiliVaccin. Firma szybko zareagowała i była chętna do dalszej współpracy.

Ustalenia badaczy budzą wiele pytań. Pewne są jednak czarne praktyki i wątpliwe cele twórców SiliVaccine. Śledztwo wskazuje na kolejny przykład sponsorowanych przez państwo technologii stosowanych w piątej generacji cybernetycznego krajobrazu zagrożeń.

Źródło: Check Point