2018-05-03

Mjukvara från IT-säkerhetsföretag används i nordkoreanskt antivirusprogram

Stora delar av Nordkoreas egenutvecklade antivirusprogram SiliVaccine är direkta kopior av 10 år gammal mjukvara från det japanska säkerhetsföretaget Trend Micro, enligt en undersökning från säkerhetsföretaget Check Point.

Undersökningen påbörjades när Check Points forskargrupp fick ta del av ett sällsynt exemplar av Nordkoreas antivirusprogram SiliVaccine från Martyn Williams, en frilansjournalist med fokus på nordkoreansk teknik.

Williams fick exemplaret via en Dropbox-länk i ett epostmeddelande skickat den 8 juli 2014 från någon som kallar sig ”Kang Yong Hak”. Meddelandet innehöll också instruktioner på koreanska, samt en uppdatering till SiliVaccine.

Trend Micros källkod
Enligt Check Point visar analyser av SiliVaccine att stora delar av programmet är direkta kopior av det japanska säkerhetsföretaget Trend Micros mjukvara. Detta tyder alltså på att utvecklarna av SiliVaccine har tillgång till Trend Micros källkod.

Syftet med ett antivirusprogram är naturligtvis att blockera alla kända skadliga koder, men analysen av SiliVaccine visar att programmet är utformat så att det förbiser en viss signatur, vilken vanligtvis blockeras av Trend Micros program. Det är fortfarande oklart vilken signatur det rör sig om och varför Nordkoreas regim inte vill skyddas ifrån den.

Medföljande skadlig kod
Uppdateringen till SiliVaccine som följde med epostmeddelandet visade sig vara den skadliga programvaran JAKU. Detta behöver enligt Check Point inte nödvändigtvis vara en del av SiliVaccine, utan kan ha bifogats för att smitta journalister såsom Williams.

JAKU är ett robust botnet som har smittat över 19 000 användare, främst med skadliga BitTorrent-filer. Det har riktat sig in på och spårat specifika offer i både Sydkorea och Japan, däribland medlemmar i icke-statliga organisationer, ingenjörer, akademiker, forskare och statligt anställda.

Check Points analys visade också att JAKU-filen var undertecknad med ett certifikat utfärdat till "Ningbo Gaoxinqu Zhidian Electric Power Technology", samma företag som användes för att underteckna filer av en annan känd APT-grupp, nämligen "Dark Hotel". Både JAKU och Dark Hotel tros tillhöra nordkoreanska hackare.



Leverantörer
Ändra marknad
Till toppen av sidan