Северокорейский антивирус SiliVaccine содержит код движка Trend Micro

Северокорейский антивирус SiliVaccine содержит код движка Trend Micro

Команда Check Point провела эксклюзивное исследование северокорейского антивирусного программного обеспечения SiliVaccine. Один из любопытных фактов состоит в том, что ключевые фрагменты кода SiliVaccine скопированы из десятилетней копии фрагментов ПО японской компании Trend Micro.

Исследовательская группа Check Point получила очень редкий образец антивирусного программного обеспечения родом из Северной Кореи SiliVaccine от журналиста Мартина Уильямса, специализирующегося на северокорейских технологиях.  

8 июля 2014 года Уильямс получил программное обеспечение в виде ссылки в подозрительном письме, отправленным неким «Kang Yong Hak», предположительно, японским инженером. Почтовый ящик отправителя с тех пор был недоступен.

Электронное письмо содержало ссылку на Dropbox с zip-файлом, в котором хранилась копия программного обеспечения SiliVaccine, файл с руководством пользователя на корейском языке и подозрительный файл, позиционируемый как патч для SiliVaccine.

После подробного экспертного анализа файлов модуля проверки SiliVaccine исследовательская группа Check Point обнаружила, что целые куски программного кода SiliVaccine полностью копируют решения по кибербезопасности Trend Micro. Более того, совпадения были хорошо замаскированы создателями SiliVaccine. Поскольку Trend Micro — это японская компания, а Япония и Северная Корея не находятся ни в каких дипломатических или политических отношениях, это открытие стало весьма неожиданным.

Конечно, цель антивируса — блокировать все известные сигнатуры вредоносных программ. Однако более глубокое исследование SiliVaccine показало, что оно было разработано таким образом, чтобы игнорировать одну сигнатуру, которая блокируется механизмом обнаружения Trend Micro. Пока неясно, что это за сигнатура, однако можно предположить, что северокорейский режим не хочет предупреждать своих пользователей об этом.

Исследование показало, что в SiliVaccine скрывался вредонос JAKU. Не факт, что это было частью антивируса, вредоносное ПО могли использовать, чтобы атаковать журналистов, таких как г-н Уильямс.

JAKU — это очень устойчивая ботсеть, которая распространяется с помощью пиратских программ и BitTorrent и заразила около 19 000 жертв. Несмотря на широкое распространение, вредонос нацелен на конкретных индивидуальных жертв как в Южной Корее, так и в Японии, включая членов международных неправительственных организаций (НПО), инженерных компаний, ученых и государственных служащих.

«В ходе нашего расследования было обнаружено, что файл JAKU был подписан сертификатами некой компанией Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd, той же компании, чьи сертификаты использовались для подписания файлов известной APT-атаки Dark Hotel. Предполагается, что и за JAKU, и за Dark Hotel стоят злоумышленники из Северной Кореи», — пишут специалисты Check Point.

Кроме первоначального письма с копией северокорейского антивируса, полученной от японского отправителя, исследователи также выявили другие связи с Японией. 

В ходе расследования специалисты Check Point обнаружили имена компаний, которые, как считается, создали SiliVaccine, двое из них — PGI (Pyonyang Gwangmyong Information Technology) и STS Tech-Service. Похоже, что STS Tech-Service — это северокорейское учреждение, которое ранее сотрудничало с другими японскими компаниями, такими как Silver Star и Magnolia.

Открытие, совершенное в ходе исследования SiliVaccine, вполне может вызвать подозрения в подлинности и мотивах продуктов ИТ-безопасности. Хотя выявление связей и авторства всегда является сложной задачей, можно точно сказать, что создатели SiliVaccine используют преступные инструменты и преследуют сомнительные цели.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Выход патча Cyberpunk 2077 перенесён на март из-за атаки вымогателя

Компания CD Projekt Red, разрабатывающая популярные видеоигры, сообщила о задержке патча Cyberpunk 2077 под номером 1.2. Причиной стала недавняя атака программы-вымогателя, операторы которой смогли зашифровать системы CD Projekt Red и выкрасть, по их словам, исходный код игровых проектов.

Теперь выход патча Cyberpunk 2077 Patch 1.2, который ждут игроки по всему миру, откладывается до конца марта 2021 года. Об этом разработчики сообщили через официальный аккаунт в Twitter.

«Несмотря на то, что команда хотела выпустить патч Cyberpunk 2077 под номером 1.2 своевременно, мы вынуждены отложить релиз. Недавняя кибератака на ИТ-инфраструктуру не оставила нам выбора — потребуется дополнительное время», — пишут представители CD Projekt Red.

«А тем временем этот патч — результат плодотворной работы, он отличается от всех других апдейтов. Мы поработали над множеством улучшений и подготовили ряд фиксов. Теперь мы рассчитываем выпустить патч во второй половине марта».

Напомним, что в феврале киберпреступники, атаковавшие CD Projekt Red, выставили исходный код крупных игр Cyberpunk 2077 и Ведьмак 3 на аукцион. Начальная цена на тот момент составила один миллион долларов.

Приблизительно в то же время специалисты в области кибербезопасности выяснили, что за атакой на разработчика игр стоит группировка HelloKitty.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru