Check Points forskare: Mjukvara från internationellt IT-säkerhetsföretag används i nordkoreanskt antivirusprogram

Forskare från säkerhetsföretaget Check Point har avslöjat flera intressanta detaljer om Nordkoreas egenutvecklade antivirusprogram SiliVaccine. Bland annat är stora delar av SiliVaccine direkta kopior av 10 år gammal mjukvara från det japanska säkerhetsföretaget Trend Micro. 

Undersökningen påbörjades när Check Points forskargrupp fick ta del av ett sällsynt exemplar av Nordkoreas antivirusprogram SiliVaccine från Martyn Williams, en frilansjournalist med fokus på nordkoreansk teknik. Martyn fick exemplaret via en Dropbox-länk i ett epostmeddelande skickat den 8 juli 2014 från någon som kallar sig ”Kang Yong Hak”. Meddelandet innehöll också instruktioner på koreanska, samt en uppdatering till SiliVaccine. Avsändaren förmodas vara en japansk ingenjör, vilket är anmärkningsvärt med tanke på den spända relationen mellan Japan och Nordkorea. Avsändaren har inte heller kunnat nås sedan meddelandet skickades.

Trend Micros källkod
Efter detaljerade analyser av SiliVaccine visade det sig att stora delar av programmet är direkta kopior av Trend Micros mjukvara. Detta tyder alltså på att utvecklarna av SiliVaccine har tillgång till Trend Micros källkod och eftersom dessa koder inte är offentliga är detta givetvis oroväckande.

Syftet med ett antivirusprogram är naturligtvis att blockera alla kända skadliga koder, men analysen av SiliVaccine visar att programmet är utformat så att det förbiser en viss signatur, vilken vanligtvis blockeras av Trend Micros program. Det är fortfarande oklart vilken signatur det rör sig om och varför Nordkoreas regim inte vill skyddas ifrån den.

Medföljande skadlig kod 
Uppdateringen till SiliVaccine som följde med epostmeddelandet visade sig vara den skadliga programvaran JAKU. Detta behöver inte nödvändigtvis vara en del av SiliVaccine, utan kan ha bifogats för att smitta journalister såsom Martyn.

JAKU är ett robust botnet som har smittat över 19 000 användare, främst med skadliga BitTorrent-filer. Det har riktat sig in på och spårat specifika offer i både Sydkorea och Japan, däribland medlemmar i icke-statliga organisationer, ingenjörer, akademiker, forskare och statligt anställda.

Check Points analys visade också att JAKU-filen var undertecknad med ett certifikat utfärdat till "Ningbo Gaoxinqu Zhidian Electric Power Technology", samma företag som användes för att underteckna filer av en annan känd APT-grupp, nämligen "Dark Hotel". Både JAKU och Dark Hotel tros tillhöra nordkoreanska hackare.

Det är alltid svårt att avgöra vem som ligger bakom cyberbrott, men Check Points upptäckter väcker många frågor. Det är dock tydligt att det ligger tvivelaktiga mål bakom skapandet av och syftet med SiliVaccine.

Läs mer på vår blogg.