在一项独家研究中,全球网络安全解决方案厂商 Check Point Software Technologies Ltd. 的研究人员针对北朝鲜本土的反防毒软件 SiliVaccine 进行了一项揭露调查。其中一个有趣的发现是 SiliVaccine 程式码的关键元件抄袭了日本公司趋势科技(Trend Micro)十多年前的软件元件。
这项调查始于 Check Point 的研究团队收到了北朝鲜科技线自由记者 Martyn Williams 寄来的一份极为罕见的北朝鲜“SiliVaccine”防毒软件样本。Williams 在 2014 年 7 月 8 日收到一封署名为 Kang Yong Hak 寄来的一封可疑电子邮件,内含此防毒软件的连结。而之后,此寄件人的信箱随即遭停用。
据悉是日本工程师的 Kang Yong Hak 所寄的可疑电子邮件内文包含一个放在 Dropbox 上的 zip 档案连结,内含 SiliVaccine 软件副本、介绍如何使用软件的韩文读我档案,以及一个貌似 SiliVaccine 更新修补程式的可疑档案。
在对 SiliVaccine 的引擎档案(提供防毒软件核心扫描功能的软件组件)进行详细的鉴识分析之后,Check Point 的研究团队发现 SiliVaccine 和趋势科技(一家完全独立的日本网络安全解决方案供应商)十多年前开发的防毒引擎程式码有一大部分完全相同。建立 SiliVaccine 的开发人员势必得取得趋势科技任何已上市产品的编译程式库,或理论上来说必须取得原始程式码,才会发生这件事。
一般来说,防毒软件的目的在于阻绝所有已知的恶意软件特征码。但是,当深入调查 SiliVaccine 后发现,其因为设计上略过了一个特定的特征码,一般来说它会被封锁,且会被趋势科技的侦测引擎封锁。虽然目前尚不清楚这个特征码的本质,但可以知道的是北朝鲜当局并不想就此警示使用者。
随附的恶意软件
对于这个貌似修补更新程式的档案,研究人员发现它是个 JAKU 恶意软件。这个档案不一定是防毒软件的一部分,但被包含在 zip 档案中以锁定像 Williams 这类的记者人士。
简单来说,JAKU 是一个组成恶意软件的高弹性僵尸网络,主要透过恶意 BitTorrent 档案共用来传播,并已感染了约 19,000 名受害者。经查发现,这个僵尸网络已经锁定和追踪位于韩国与日本的更多特定受害者,包含国际非政府组织(NGO)成员、工程公司人员、学者、科学家和公务员。
Check Point 的调查发现,虽然 JAKU 档案经过发给 Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd 的凭证签署,但这家公司过去也签署过另一个臭名昭著的 APT 集团 Dark Hotel 的档案。JAKU 和 Dark Hotel 皆被视为是北朝鲜的威胁者所建立。
日本和北朝鲜间的政治和外交关系并不十分友好,但包含 SiliVaccine 副本的原始电子邮件却由日本人寄出,这点令人感到怀疑。然而,这种不可能发生的事情还没有结束,因 Check Point 的研究人员又发现了与日本的其他关联。
在调查过程中,Check Point 发现被认为是撰写 SiliVaccine 的公司名称,PGI(平壤光明资讯科技公司)和 STS Tech-Service。
STS Tech-Service 据悉已和其他公司合作,包含“Silver Star”和“Magnolia”,这两家都是日本公司,且之前都与北朝鲜政府单位 KCC(北朝鲜电脑中心)有合作经验。
趋势科技的回应
当 Check Point 的团队通知趋势科技其侦测引擎遭到 SiliVaccine 盗用后,趋势科技立即做出回应并展现高度配合。该公司的回应如下:
“趋势科技获知 Check Point 对北朝鲜防毒产品“SiliVaccine”的研究结果,而 Check Point 已提供我方此软件副本以进行验证。虽然我方无法确认副本的来源或真实性,但它采用模组确实以趋势科技十多年前在许多产品中广泛使用的扫描引擎为基础。趋势科技从未在北朝鲜或与北朝鲜之间有业务往来。我方相信,将此模组用在任何用途完全未经过授权且是非法的,但我方也未看到证据显示当中涉及原始程式码。该扫描引擎版本相当老旧,多年来已经透过各种 OEM 交易被广泛整合到趋势科技和第三方安全产品的上市产品中,因此 SiliVaccine 的建立者可能取得此扫描引擎版本的具体方法目前尚未可知。趋势科技对软件盗版行为采取强烈立场,然而为此案例诉诸法律结果将收获有限。我方不认为侵权使用问题会为我们的客户带来任何重大风险。”
迹象显示,趋势科技广泛授权的程式库乃因 SiliVaccine 使用了其十多年前的扫描引擎而遭到误用,而在 Check Point 团队针对旧版 SiliVaccine 软件进行额外分析之后也确认了这项事实。这表明这不是一次性事件。
这次对 SiliVaccine 的揭露研究可能会引起大众对此“隐士王国”的 IT 安全产品和运作的真实性和动机产生怀疑。
虽然归因在网络安全中一直是一项艰钜的任务,但 Check Point 的研究结果提出了许多问题。不过毋庸置疑的是,SiliVaccine 的建立者存有阴险行径和可疑企图。Check Point 的调查显示出在第五代网络威胁情势中,使用国家赞助技术的另一个例子。
(首图来源:pixabay)
