揭露调查:在一项独家研究中,Check Point 研究人员针对朝鲜本土防病毒软件 SiliVaccine 进行了深入的揭露性调查。其中一个引人关注的因素是,SiliVaccine 代码的一个关键组件抄袭了日本公司 Trend Micro(趋势科技)十年前的软件组件。
可疑电子邮件
Martyn Williams 是一名以朝鲜科技为主要素材的自由撰稿人,我们的研究团队此前从这名新闻工作者处收到一份非常罕见的朝鲜“SiliVaccine”防病毒软件样本,由此开始展开了本次调查。Williams 本人曾在一封可疑电子邮件中收到该软件的链接,这封电子邮件发送于 2014 年 7 月 8 日,署名“Kang Yong Hak”。随即,这名发件人的信箱自此遁形,无法回复访问。
这封奇怪电子邮件的发件人“Kang Yong Hak”自称是一名日本工程师,邮件中包含 Dropbox 托管的 zip 文件链接,文件中有一份 SiliVaccine 软件副本、一份讲解该软件使用方法的朝鲜语自述文件,以及一份伪装成 SiliVaccine 更新补丁的可疑文件
Trend Micro 的扫描引擎
在对 SiliVaccine 引擎文件这个用于提供防病毒软件的核心文件扫描功能的组件进行过详细取证分析之后,我们的研究团队发现 SiliVaccine 与 Trend Micro 公司十年前防病毒引擎代码的大段内容完全匹配,后者是日本的一家完全独立的网络安全解决方案供应商。要做到这一点,构建 SiliVaccine 的开发人员需要有权限任意访问 Trend Micro 商业发布产品的已编译资料库,或从理论上讲,具有源代码访问权限。
防病毒软件的目的理应在于拦截所有已知恶意软件签名。然而,对 SiliVaccine 进行更深一步调查后发现,该软件设计目的在于忽略一个特定签名,而实际在通常情况下本应对该签名进行拦截,并且 Trend Micro 检测引擎会对此予以拦截。尽管尚不清楚此签名的实际内容,但很明确的是,朝鲜政体并不想就此向该软件的用户发出警示。
捆绑的恶意软件
至于所谓的补丁更新文件,研究发现其实是 JAKU 恶意软件。这并非防病毒软件的必要部分,但可能被放在 zip 文件中用于将攻击目标指向 Williams 等新闻工作者。
简言之,JAKU 是一个具有高强适应能力的僵尸网络,其形成的恶意软件主要通过恶意 BitTorrent 文件共享进行传播,目前已经感染了约 19,000 个受害者。不过,据悉该恶意软件已经将目标对准韩国和日本两国的更多特定个人受害者,包括国际非政府组织 (NGO) 的成员、工程公司人员、学术界人士、科学家和政府雇员,并对这些受害者进行追踪。
我们的调查发现,尽管 JAKU 文件已通过颁发给某“Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd”的证书进行签署,但后者也正是另一臭名昭著的 APT 组织 “Dark Hotel”用于签署文件的同一家公司。JAKU 和 Dark Hotel 都可看作朝鲜威胁执行者的“杰作”。
与日本的关联
日本和朝鲜的政治和外交关系并不友好,因此在看似由日本国民发送的初始电子邮件中包含 SiliVaccine 副本难免令人生疑。然而这种可能性很低的关联并不止于此,因为我们的研究人员还发现了指向日本的其他关联。
调查过程中,我们发现了据信编写 SiliVaccine 的公司名称:PGI (Pyonyang Gwangmyong Information Technology) 和 STS Tech-Service。
据悉,STS Tech-Service 已与其他公司展开合作,包括在日本本土运营的两家公司“Silver Star”和“Magnolia”,它们以往都曾与朝鲜政府实体朝鲜电脑研究中心 (Korea Computer Center, KCC) 有过合作。
Trend Micro 的回应
我们的团队与 Trend Micro 联系告知了关于 SiliVaccine 中正使用其检测引擎的情况,该公司迅速做出回应并给予高度配合。他们的回应如下:
“Trend Micro 知晓 Check Point 关于朝鲜防病毒产品‘SiliVaccine’的研究,Check Point 也已向我方提供该软件的副本以供查证。虽然我方无法确认该副本的来源和真实性, 但很显然,这款产品包含的模组基于曾在十多年前广泛用于我们各种产品中的 Trend Micro 扫描引擎。Trend Micro 从未在朝鲜开展过业务运营,也从未与之进行过业务往来。我方确信,对这一模组的任何此类使用完全未经许可且为非法行为,而且我方也未看到任何涉及源代码的证据。讨论所涉的扫描引擎版本早已过时,并且通过多年的 OEM 交易,已在 Trend Micro 的商业产品和第三方安全产品中广为应用,因此 SiliVaccine 创建者采用何种特定手段获得了该版本尚且不明。Trend Micro 会对软件盗版行为采取强硬立场,但是此种情况中的法律追索收效甚微。我方相信讨论所涉的侵权使用不会对我们的客户构成任何实质风险。”
SiliVaccine 使用 Trend Micro 扫描引擎十多年前的版本,可能暗示着后者广获许可的资料库遭到滥用,这一情况也在 Check Point 团队针对 SiliVaccine 旧版本做出更多分析后得到佐证。这表明此情况并非偶然现象。
总结
本次对 SiliVaccine 的揭露性探查能够充分引起对朝鲜这一“隐士王国”的 IT 安全产品和运营的可靠性与动机产生怀疑。
归因判断始终是网络安全方面的艰巨任务,而我们的调查结果引发了诸多疑问。但 SiliVaccine 创建者的阴暗行径和可疑用心毋庸置疑。我们的调查指出了在第五代网络威胁形势中使用国家支持技术的另一个示例。
如要侧重技术角度了解 SiliVaccine 内情,请查看 Check Point Research 的调查结果。
Check Point以色列捷邦安全软件科技有限公司
Check Point以色列捷邦安全软件科技有限公司 (www.checkpoint.com) 是全球首屈一指的网络安全解决方案供应商,其客户包括多国政府和企业。Check Point的解决方案在抵御恶意软件、勒索软件和各种威胁方面的表现领先业界,为客户提供安全保护。Check Point 的多层次安全架构保护企业在云端、网络和移动设备信息的安全,以及提供最全面和可视化的单一安全控制管理系统。Check Point现为超过100,000个不同规模的组织提供安全保护。