揭露調(diào)查:在一項(xiàng)獨(dú)家研究中���,Check Point 研究人員針對(duì)朝鮮本土防病毒軟件 SiliVaccine 進(jìn)行了深入的揭露性調(diào)查。其中一個(gè)引人關(guān)注的因素是���,SiliVaccine 代碼的一個(gè)關(guān)鍵組件抄襲了日本公司 Trend Micro(趨勢(shì)科技)十年前的軟件組件���。
可疑電子郵件
Martyn Williams 是一名以朝鮮科技為主要素材的自由撰稿人���,我們的研究團(tuán)隊(duì)此前從這名新聞工作者處收到一份非常罕見(jiàn)的朝鮮“SiliVaccine”防病毒軟件樣本���,由此開(kāi)始展開(kāi)了本次調(diào)查。Williams 本人曾在一封可疑電子郵件中收到該軟件的鏈接���,這封電子郵件發(fā)送于 2014 年 7 月 8 日���,署名“Kang Yong Hak”。隨即���,這名發(fā)件人的信箱自此遁形���,無(wú)法回復(fù)訪問(wèn)���。
這封奇怪電子郵件的發(fā)件人“Kang Yong Hak”自稱是一名日本工程師,郵件中包含 Dropbox 托管的 zip 文件鏈接���,文件中有一份 SiliVaccine 軟件副本���、一份講解該軟件使用方法的朝鮮語(yǔ)自述文件,以及一份偽裝成 SiliVaccine 更新補(bǔ)丁的可疑文件
Trend Micro 的掃描引擎
在對(duì) SiliVaccine 引擎文件這個(gè)用于提供防病毒軟件的核心文件掃描功能的組件進(jìn)行過(guò)詳細(xì)取證分析之后���,我們的研究團(tuán)隊(duì)發(fā)現(xiàn) SiliVaccine 與 Trend Micro 公司十年前防病毒引擎代碼的大段內(nèi)容完全匹配���,后者是日本的一家完全獨(dú)立的網(wǎng)絡(luò)安全解決方案供應(yīng)商。要做到這一點(diǎn)���,構(gòu)建 SiliVaccine 的開(kāi)發(fā)人員需要有權(quán)限任意訪問(wèn) Trend Micro 商業(yè)發(fā)布產(chǎn)品的已編譯資料庫(kù)���,或從理論上講,具有源代碼訪問(wèn)權(quán)限���。
防病毒軟件的目的理應(yīng)在于攔截所有已知惡意軟件簽名���。然而���,對(duì) SiliVaccine 進(jìn)行更深一步調(diào)查后發(fā)現(xiàn),該軟件設(shè)計(jì)目的在于忽略一個(gè)特定簽名���,而實(shí)際在通常情況下本應(yīng)對(duì)該簽名進(jìn)行攔截���,并且 Trend Micro 檢測(cè)引擎會(huì)對(duì)此予以攔截。盡管尚不清楚此簽名的實(shí)際內(nèi)容���,但很明確的是,朝鮮政體并不想就此向該軟件的用戶發(fā)出警示���。
捆綁的惡意軟件
至于所謂的補(bǔ)丁更新文件���,研究發(fā)現(xiàn)其實(shí)是 JAKU 惡意軟件。這并非防病毒軟件的必要部分���,但可能被放在 zip 文件中用于將攻擊目標(biāo)指向 Williams 等新聞工作者���。
簡(jiǎn)言之���,JAKU 是一個(gè)具有高強(qiáng)適應(yīng)能力的僵尸網(wǎng)絡(luò),其形成的惡意軟件主要通過(guò)惡意 BitTorrent 文件共享進(jìn)行傳播���,目前已經(jīng)感染了約 19,000 個(gè)受害者���。不過(guò),據(jù)悉該惡意軟件已經(jīng)將目標(biāo)對(duì)準(zhǔn)韓國(guó)和日本兩國(guó)的更多特定個(gè)人受害者���,包括國(guó)際非政府組織 (NGO) 的成員���、工程公司人員、學(xué)術(shù)界人士���、科學(xué)家和政府雇員���,并對(duì)這些受害者進(jìn)行追蹤。
我們的調(diào)查發(fā)現(xiàn)���,盡管 JAKU 文件已通過(guò)頒發(fā)給某“Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd”的證書(shū)進(jìn)行簽署���,但后者也正是另一臭名昭著的 APT 組織 “Dark Hotel”用于簽署文件的同一家公司���。JAKU 和 Dark Hotel 都可看作朝鮮威脅執(zhí)行者的“杰作”。
與日本的關(guān)聯(lián)
日本和朝鮮的政治和外交關(guān)系并不友好���,因此在看似由日本國(guó)民發(fā)送的初始電子郵件中包含 SiliVaccine 副本難免令人生疑���。然而這種可能性很低的關(guān)聯(lián)并不止于此,因?yàn)槲覀兊难芯咳藛T還發(fā)現(xiàn)了指向日本的其他關(guān)聯(lián)���。
調(diào)查過(guò)程中���,我們發(fā)現(xiàn)了據(jù)信編寫(xiě) SiliVaccine 的公司名稱:PGI (Pyonyang Gwangmyong Information Technology) 和 STS Tech-Service。
據(jù)悉���,STS Tech-Service 已與其他公司展開(kāi)合作,包括在日本本土運(yùn)營(yíng)的兩家公司“Silver Star”和“Magnolia”���,它們以往都曾與朝鮮政府實(shí)體朝鮮電腦研究中心 (Korea Computer Center, KCC) 有過(guò)合作���。
Trend Micro 的回應(yīng)
我們的團(tuán)隊(duì)與 Trend Micro 聯(lián)系告知了關(guān)于 SiliVaccine 中正使用其檢測(cè)引擎的情況,該公司迅速做出回應(yīng)并給予高度配合���。他們的回應(yīng)如下:
“Trend Micro 知曉 Check Point 關(guān)于朝鮮防病毒產(chǎn)品‘SiliVaccine’的研究���,Check Point 也已向我方提供該軟件的副本以供查證���。雖然我方無(wú)法確認(rèn)該副本的來(lái)源和真實(shí)性, 但很顯然���,這款產(chǎn)品包含的模組基于曾在十多年前廣泛用于我們各種產(chǎn)品中的 Trend Micro 掃描引擎���。Trend Micro 從未在朝鮮開(kāi)展過(guò)業(yè)務(wù)運(yùn)營(yíng),也從未與之進(jìn)行過(guò)業(yè)務(wù)往來(lái)���。我方確信���,對(duì)這一模組的任何此類使用完全未經(jīng)許可且為非法行為,而且我方也未看到任何涉及源代碼的證據(jù)���。討論所涉的掃描引擎版本早已過(guò)時(shí)���,并且通過(guò)多年的 OEM 交易,已在 Trend Micro 的商業(yè)產(chǎn)品和第三方安全產(chǎn)品中廣為應(yīng)用,因此 SiliVaccine 創(chuàng)建者采用何種特定手段獲得了該版本尚且不明���。Trend Micro 會(huì)對(duì)軟件盜版行為采取強(qiáng)硬立場(chǎng)���,但是此種情況中的法律追索收效甚微。我方相信討論所涉的侵權(quán)使用不會(huì)對(duì)我們的客戶構(gòu)成任何實(shí)質(zhì)風(fēng)險(xiǎn)���?��!?nbsp;
SiliVaccine 使用 Trend Micro 掃描引擎十多年前的版本,可能暗示著后者廣獲許可的資料庫(kù)遭到濫用���,這一情況也在 Check Point 團(tuán)隊(duì)針對(duì) SiliVaccine 舊版本做出更多分析后得到佐證���。這表明此情況并非偶然現(xiàn)象。
總結(jié)
本次對(duì) SiliVaccine 的揭露性探查能夠充分引起對(duì)朝鮮這一“隱士王國(guó)”的 IT 安全產(chǎn)品和運(yùn)營(yíng)的可靠性與動(dòng)機(jī)產(chǎn)生懷疑���。
歸因判斷始終是網(wǎng)絡(luò)安全方面的艱巨任務(wù)���,而我們的調(diào)查結(jié)果引發(fā)了諸多疑問(wèn)���。但 SiliVaccine 創(chuàng)建者的陰暗行徑和可疑用心毋庸置疑���。我們的調(diào)查指出了在第五代網(wǎng)絡(luò)威脅形勢(shì)中使用國(guó)家支持技術(shù)的另一個(gè)示例���。
如要側(cè)重技術(shù)角度了解 SiliVaccine 內(nèi)情,請(qǐng)查看 Check Point Research 的調(diào)查結(jié)果���。
