調查發現北韓防毒軟體 SiliVaccine 程式碼疑抄襲趨勢科技舊軟體程式碼

作者 | 發布日期 2018 年 05 月 14 日 17:00 | 分類 資訊安全 , 軟體、系統 follow us in feedly

在一項獨家研究中,全球網路安全解決方案廠商 Check Point Software Technologies Ltd. 研究人員針對北韓本土的反防毒軟體 SiliVaccine 進行了一項揭露調查。其中一個有趣的發現是 SiliVaccine 程式碼的關鍵元件抄襲了日本公司趨勢科技(Trend Micro)十多年前的軟體元件。



這項調查始於 Check Point 的研究團隊收到了北韓科技線自由記者 Martyn Williams 寄來的一份極為罕見的北韓「SiliVaccine」防毒軟體樣本。Williams 在 2014 年 7 月 8 日收到一封署名為 Kang Yong Hak 寄來的一封可疑電子郵件,內含此防毒軟體的連結。而之後,此寄件人的信箱隨即遭停用。

據悉是日本工程師的 Kang Yong Hak 所寄的可疑電子郵件內文包含一個放在 Dropbox 上的 zip 檔案連結,內含 SiliVaccine 軟體副本、介紹如何使用軟體的韓文讀我檔案,以及一個貌似 SiliVaccine 更新修補程式的可疑檔案。

在對 SiliVaccine 的引擎檔案(提供防毒軟體核心掃描功能的軟體組件)進行詳細的鑑識分析之後,Check Point 的研究團隊發現 SiliVaccine 和趨勢科技(一家完全獨立的日本網路安全解決方案供應商)十多年前開發的防毒引擎程式碼有一大部分完全相同。建立 SiliVaccine 的開發人員勢必得取得趨勢科技任何已上市產品的編譯程式庫,或理論上來說必須取得原始程式碼,才會發生這件事。

一般來說,防毒軟體的目的在於阻絕所有已知的惡意軟體特徵碼。但是,當深入調查 SiliVaccine 後發現,其因為設計上略過了一個特定的特徵碼,一般來說它會被封鎖,且會被趨勢科技的偵測引擎封鎖。雖然目前尚不清楚這個特徵碼的本質,但可以知道的是北韓當局並不想就此警示使用者。

隨附的惡意軟體

對於這個貌似修補更新程式的檔案,研究人員發現它是個 JAKU 惡意軟體。這個檔案不一定是防毒軟體的一部分,但被包含在 zip 檔案中以鎖定像 Williams 這類的記者人士。

簡單來說,JAKU 是一個組成惡意軟體的高彈性殭屍網路,主要透過惡意 BitTorrent 檔案共用來傳播,並已感染了約 19,000 名受害者。經查發現,這個殭屍網路已經鎖定和追蹤位於南韓與日本的更多特定受害者,包含國際非政府組織(NGO)成員、工程公司人員、學者、科學家和公務員。

Check Point 的調查發現,雖然 JAKU 檔案經過發給 Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd 的憑證簽署,但這家公司過去也簽署過另一個臭名昭著的 APT 集團 Dark Hotel 的檔案。JAKU 和 Dark Hotel 皆被視為是北韓的威脅者所建立。

日本和北韓間的政治和外交關係並不十分友好,但包含 SiliVaccine 副本的原始電子郵件卻由日本人寄出,這點令人感到懷疑。然而,這種不可能發生的事情還沒有結束,因 Check Point 的研究人員又發現了與日本的其他關聯。

在調查過程中,Check Point 發現被認為是撰寫 SiliVaccine 的公司名稱,PGI(平壤光明資訊科技公司)和 STS Tech-Service。

STS Tech-Service 據悉已和其他公司合作,包含「Silver Star」和「Magnolia」,這兩家都是日本公司,且之前都與北韓政府單位 KCC(北韓電腦中心)有合作經驗。

趨勢科技的回應

當 Check Point 的團隊通知趨勢科技其偵測引擎遭到 SiliVaccine 盜用後,趨勢科技立即做出回應並展現高度配合。該公司的回應如下:

「趨勢科技獲知 Check Point 對北韓防毒產品「SiliVaccine」的研究結果,而 Check Point 已提供我方此軟體副本以進行驗證。雖然我方無法確認副本的來源或真實性,但它採用模組確實以趨勢科技十多年前在許多產品中廣泛使用的掃描引擎為基礎。趨勢科技從未在北韓或與北韓之間有業務往來。我方相信,將此模組用在任何用途完全未經過授權且是非法的,但我方也未看到證據顯示當中涉及原始程式碼。該掃描引擎版本相當老舊,多年來已經透過各種 OEM 交易被廣泛整合到趨勢科技和第三方安全產品的上市產品中,因此 SiliVaccine 的建立者可能取得此掃描引擎版本的具體方法目前尚未可知。趨勢科技對軟體盜版行為採取強烈立場,然而為此案例訴諸法律結果將收獲有限。我方不認為侵權使用問題會為我們的客戶帶來任何重大風險。」

跡象顯示,趨勢科技廣泛授權的程式庫乃因 SiliVaccine 使用了其十多年前的掃描引擎而遭到誤用,而在 Check Point 團隊針對舊版 SiliVaccine 軟體進行額外分析之後也確認了這項事實。這表明這不是一次性事件。

這次對 SiliVaccine 的揭露研究可能會引起大眾對此「隱士王國」的 IT 安全產品和運作的真實性和動機產生懷疑。

雖然歸因在網路安全中一直是一項艱鉅的任務,但 Check Point 的研究結果提出了許多問題。不過毋庸置疑的是,SiliVaccine 的建立者存有陰險行徑和可疑企圖。Check Point 的調查顯示出在第五代網路威脅情勢中,使用國家贊助技術的另一個例子。

(首圖來源:pixabay