Jak Korea Północna szpieguje swoich obywateli?

Badanie rozpoczęło się w momencie, gdy zespół badawczy z firmy Check Point otrzymał bardzo rzadką próbkę północnokoreańskiego oprogramowania antywirusowego SiliVaccine od Martyna Williamsa, niezależnego dziennikarza specjalizującego się w technologii Korei Północnej. Williams sam otrzymał oprogramowanie jako link w podejrzanej wiadomości e-mail wysłanej do niego 8 lipca 2014 roku przez kogoś, kto będzie nazywał się "Kang Yong Hak". Od tego czasu skrzynka pocztowa tego nadawcy stała się nieosiągalna.

Dziwny email wysłany przez "Kang Yong Hak", rzekomo japońskiego inżyniera, zawierał link do zzipowanego pliku w Dropboksie, który zawierał kopię oprogramowania SiliVaccine, plik readme w języku koreańskim, instruujący jak używać tego oprogramowania oraz podejrzanie wyglądający plik pozujący jako poprawka aktualizacyjna do SiliVaccine.

Silnik skanowania AV Trend Micro 

Po szczegółowej analizie kryminalistycznej plików silnika SiliVaccine (komponent oprogramowania, który zapewnia podstawowe możliwości skanowania plików antywirusowych), zespół badawczy odkrył dokładne dopasowanie SiliVaccine do dużych części 10-letniego kodu silnika antywirusowego należącego do Trend Micro, odrębnego japońskiego dostawcy rozwiązań w zakresie bezpieczeństwa cybernetycznego. Dzięki temu programiści, którzy zbudowali SiliVaccine mogli mieć dostęp do skompilowanej biblioteki z dowolnego komercyjnego produktu Trend Micro lub - teoretycznie - dostęp do kodu źródłowego.

Oczywiście, celem antywirusa jest zablokowanie wszystkich znanych sygnatur złośliwego oprogramowania. Jednak głębsze badania nad szczepionką SiliVaccine wykazały, że została ona zaprojektowana tak, aby przeoczyć jeden szczególny znak, który zwykle powinien być blokowany i który jest blokowany przez silnik wykrywający Trend Micro. Chociaż nie jest jasne, jaka jest to sygnatura, to oczywiste jest, że reżim Korei Północnej nie chce ostrzegać przed nią swoich użytkowników.

Dołączone do zestawu złośliwe oprogramowanie

Jeśli chodzi o plik z rzekomą aktualizacją dodatku, stwierdzono, że jest to złośliwe oprogramowanie JAKU. Nie było częścią programu antywirusowego, ale mogło zostać włączone do pliku zip jako sposób na dotarcie do dziennikarzy takich jak Williams. Krótko mówiąc, JAKU to bardzo odporny botnet tworzący złośliwe oprogramowanie, który zainfekował około 19 000 ofiar, głównie poprzez udostępnianie plików BitTorrent. Widzimy jednak, że jest on ukierunkowany na konkretne ofiary w Korei Południowej i Japonii, w tym na członków międzynarodowych organizacji pozarządowych, firmy inżynieryjne, naukowców i pracowników rządowych.

W toku dochodzenia ustalono jednak, że akta JAKU zostały podpisane wraz z certyfikatem wydanym "Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd.", tej samej spółce, która udostępniała podpisy plików innej znanej grupy APT, Dark Hotel. Uważa się, że zarówno JAKU, jak i Dark Hotel są północnokoreańskimi organizacjami zagrażającym cyberbezpieczeństwu.

Przyłącze japońskie

Japonia i Korea Północna nie utrzymują przyjaznych stosunków politycznych lub dyplomatycznych, co sprawia, że dziwne jest, że pierwszy e-mail zawierający kopię szczepionki SiliVaccine został wysłany przez obywatela Japonii.  Nie jest to jednak jedyne odniesienie, gdyż badacze znaleźli również inne związki z Japonią. W trakcie badań Check Point odkrył nazwy firm, które są autorami SiliVaccine. Są to: PGI (Pyonyang Gwangmyong Information Technology) i STS Tech-Service. Wiadomo, że STS Tech-Service współpracował z innymi przedsiębiorstwami, w tym z przedsiębiorstwami "Silver Star" i "Magnolia", które mają siedzibę w Japonii i wcześniej współpracowały z KCC (Korea Computer Center, podmiotem rządowym Korei Północnej).

Reakcja Trend Micro

Zespół Check Pointa poinformował Trend Micro o zastosowaniu ich silnika wykrywającego w SiliVaccin. Firma szybko zareagowała i była chętna do dalszej współpracy. Ich odpowiedź była następująca:

"Trend Micro jest świadomy badań prowadzonych przez Check Point nad północnokoreańskim produktem antywirusowym SiliVaccine; Check Point dostarczył nam kopię oprogramowania do weryfikacji. Chociaż nie jesteśmy w stanie potwierdzić źródła ani autentyczności tej kopii, to najwyraźniej zawiera ona moduł oparty na ponad 10-letniej wersji szeroko rozpowszechnionego silnika skanującego Trend Micro, wykorzystywanego przez różne nasze produkty. Trend Micro nigdy nie prowadził działalności w Korei Północnej ani nie współpracował z nią. Jesteśmy przekonani, że każde takie użycie modułu jest całkowicie nielicencjonowane i nielegalne. Omawiana wersja silnika skanowania jest dość stara i przez lata była szeroko stosowana w produktach komercyjnych Trend Micro i innych produktach zabezpieczających poprzez różne transakcje OEM, więc nie wiadomo w jaki sposób mogła ona zostać uzyskana przez twórców SiliVaccine. Trend Micro zajmuje zdecydowane stanowisko przeciwko piractwu oprogramowania, jednak w tym przypadku odwołanie się do sądu nie byłoby skuteczne. Nie uważamy, aby przedmiotowe zastosowanie naruszające prawo stwarzało jakiekolwiek istotne ryzyko dla naszych klientów".

Analiza antywirusa SiliVaccine może wzbudzić podejrzenia o autentyczność i motywy produktów i operacji bezpieczeństwa IT w Korei Północnej. Ustalenia Check Pointa budzą wiele pytań. Pewne są jednak czarne praktyki i wątpliwe cele twórców SiliVaccine. Śledztwo to wskazuje na kolejny przykład sponsorowanych przez państwo technologii stosowanych w piątej generacji cybernetycznego krajobrazu zagrożeń.