揭露調(diào)查:在一項(xiàng)獨(dú)家研究中�,Check Point 研究人員針對(duì)朝鮮本土防病毒軟件 SiliVaccine 進(jìn)行了深入的揭露性調(diào)查��。其中一個(gè)引人關(guān)注的因素是��,SiliVaccine 代碼的一個(gè)關(guān)鍵組件抄襲了日本公司 Trend Micro(趨勢(shì)科技)十年前的軟件組件����。
可疑電子郵件
Martyn Williams 是一名以朝鮮科技為主要素材的自由撰稿人,我們的研究團(tuán)隊(duì)此前從這名新聞工作者處收到一份非常罕見的朝鮮“SiliVaccine”防病毒軟件樣本���,由此開始展開了本次調(diào)查����。Williams 本人曾在一封可疑電子郵件中收到該軟件的鏈接,這封電子郵件發(fā)送于 2014 年 7 月 8 日����,署名“Kang Yong Hak”��。隨即����,這名發(fā)件人的信箱自此遁形,無法回復(fù)訪問���。
這封奇怪電子郵件的發(fā)件人“Kang Yong Hak”自稱是一名日本工程師�����,郵件中包含 Dropbox 托管的 zip 文件鏈接���,文件中有一份 SiliVaccine 軟件副本、一份講解該軟件使用方法的朝鮮語自述文件���,以及一份偽裝成 SiliVaccine 更新補(bǔ)丁的可疑文件
Trend Micro 的掃描引擎
在對(duì) SiliVaccine 引擎文件這個(gè)用于提供防病毒軟件的核心文件掃描功能的組件進(jìn)行過詳細(xì)取證分析之后�,我們的研究團(tuán)隊(duì)發(fā)現(xiàn) SiliVaccine 與 Trend Micro 公司十年前防病毒引擎代碼的大段內(nèi)容完全匹配,后者是日本的一家完全獨(dú)立的網(wǎng)絡(luò)安全解決方案供應(yīng)商��。要做到這一點(diǎn)��,構(gòu)建 SiliVaccine 的開發(fā)人員需要有權(quán)限任意訪問 Trend Micro 商業(yè)發(fā)布產(chǎn)品的已編譯資料庫��,或從理論上講��,具有源代碼訪問權(quán)限�。
防病毒軟件的目的理應(yīng)在于攔截所有已知惡意軟件簽名。然而����,對(duì) SiliVaccine 進(jìn)行更深一步調(diào)查后發(fā)現(xiàn),該軟件設(shè)計(jì)目的在于忽略一個(gè)特定簽名����,而實(shí)際在通常情況下本應(yīng)對(duì)該簽名進(jìn)行攔截,并且 Trend Micro 檢測(cè)引擎會(huì)對(duì)此予以攔截�����。盡管尚不清楚此簽名的實(shí)際內(nèi)容,但很明確的是�����,朝鮮政體并不想就此向該軟件的用戶發(fā)出警示����。
捆綁的惡意軟件
至于所謂的補(bǔ)丁更新文件,研究發(fā)現(xiàn)其實(shí)是 JAKU 惡意軟件�����。這并非防病毒軟件的必要部分���,但可能被放在 zip 文件中用于將攻擊目標(biāo)指向 Williams 等新聞工作者。
簡(jiǎn)言之�,JAKU 是一個(gè)具有高強(qiáng)適應(yīng)能力的僵尸網(wǎng)絡(luò),其形成的惡意軟件主要通過惡意 BitTorrent 文件共享進(jìn)行傳播��,目前已經(jīng)感染了約 19,000 個(gè)受害者���。不過��,據(jù)悉該惡意軟件已經(jīng)將目標(biāo)對(duì)準(zhǔn)韓國(guó)和日本兩國(guó)的更多特定個(gè)人受害者���,包括國(guó)際非政府組織 (NGO) 的成員���、工程公司人員、學(xué)術(shù)界人士�、科學(xué)家和政府雇員,并對(duì)這些受害者進(jìn)行追蹤�����。
我們的調(diào)查發(fā)現(xiàn)���,盡管 JAKU 文件已通過頒發(fā)給某“Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd”的證書進(jìn)行簽署�,但后者也正是另一臭名昭著的 APT 組織 “Dark Hotel”用于簽署文件的同一家公司��。JAKU 和 Dark Hotel 都可看作朝鮮威脅執(zhí)行者的“杰作”����。
與日本的關(guān)聯(lián)
日本和朝鮮的政治和外交關(guān)系并不友好,因此在看似由日本國(guó)民發(fā)送的初始電子郵件中包含 SiliVaccine 副本難免令人生疑��。然而這種可能性很低的關(guān)聯(lián)并不止于此���,因?yàn)槲覀兊难芯咳藛T還發(fā)現(xiàn)了指向日本的其他關(guān)聯(lián)����。
調(diào)查過程中,我們發(fā)現(xiàn)了據(jù)信編寫 SiliVaccine 的公司名稱:PGI (Pyonyang Gwangmyong Information Technology) 和 STS Tech-Service�����。
據(jù)悉�,STS Tech-Service 已與其他公司展開合作,包括在日本本土運(yùn)營(yíng)的兩家公司“Silver Star”和“Magnolia”�����,它們以往都曾與朝鮮政府實(shí)體朝鮮電腦研究中心 (Korea Computer Center, KCC) 有過合作�����。
Trend Micro 的回應(yīng)
我們的團(tuán)隊(duì)與 Trend Micro 聯(lián)系告知了關(guān)于 SiliVaccine 中正使用其檢測(cè)引擎的情況����,該公司迅速做出回應(yīng)并給予高度配合��。他們的回應(yīng)如下:
“Trend Micro 知曉 Check Point 關(guān)于朝鮮防病毒產(chǎn)品‘SiliVaccine’的研究�,Check Point 也已向我方提供該軟件的副本以供查證。雖然我方無法確認(rèn)該副本的來源和真實(shí)性�����, 但很顯然,這款產(chǎn)品包含的模組基于曾在十多年前廣泛用于我們各種產(chǎn)品中的 Trend Micro 掃描引擎���。Trend Micro 從未在朝鮮開展過業(yè)務(wù)運(yùn)營(yíng)��,也從未與之進(jìn)行過業(yè)務(wù)往來�����。我方確信�,對(duì)這一模組的任何此類使用完全未經(jīng)許可且為非法行為����,而且我方也未看到任何涉及源代碼的證據(jù)。討論所涉的掃描引擎版本早已過時(shí)�����,并且通過多年的 OEM 交易��,已在 Trend Micro 的商業(yè)產(chǎn)品和第三方安全產(chǎn)品中廣為應(yīng)用�����,因此 SiliVaccine 創(chuàng)建者采用何種特定手段獲得了該版本尚且不明。Trend Micro 會(huì)對(duì)軟件盜版行為采取強(qiáng)硬立場(chǎng)����,但是此種情況中的法律追索收效甚微。我方相信討論所涉的侵權(quán)使用不會(huì)對(duì)我們的客戶構(gòu)成任何實(shí)質(zhì)風(fēng)險(xiǎn)����。”
SiliVaccine 使用 Trend Micro 掃描引擎十多年前的版本�����,可能暗示著后者廣獲許可的資料庫遭到濫用�����,這一情況也在 Check Point 團(tuán)隊(duì)針對(duì) SiliVaccine 舊版本做出更多分析后得到佐證�。這表明此情況并非偶然現(xiàn)象。
總結(jié)
本次對(duì) SiliVaccine 的揭露性探查能夠充分引起對(duì)朝鮮這一“隱士王國(guó)”的 IT 安全產(chǎn)品和運(yùn)營(yíng)的可靠性與動(dòng)機(jī)產(chǎn)生懷疑�。
歸因判斷始終是網(wǎng)絡(luò)安全方面的艱巨任務(wù),而我們的調(diào)查結(jié)果引發(fā)了諸多疑問���。但 SiliVaccine 創(chuàng)建者的陰暗行徑和可疑用心毋庸置疑。我們的調(diào)查指出了在第五代網(wǎng)絡(luò)威脅形勢(shì)中使用國(guó)家支持技術(shù)的另一個(gè)示例����。
如要側(cè)重技術(shù)角度了解 SiliVaccine 內(nèi)情����,請(qǐng)查看 Check Point Research 的調(diào)查結(jié)果���。
