Северокорейский антивирус SiliVaccine содержит код движка Trend Micro

Северокорейский антивирус SiliVaccine содержит код движка Trend Micro

Команда Check Point провела эксклюзивное исследование северокорейского антивирусного программного обеспечения SiliVaccine. Один из любопытных фактов состоит в том, что ключевые фрагменты кода SiliVaccine скопированы из десятилетней копии фрагментов ПО японской компании Trend Micro.

Исследовательская группа Check Point получила очень редкий образец антивирусного программного обеспечения родом из Северной Кореи SiliVaccine от журналиста Мартина Уильямса, специализирующегося на северокорейских технологиях.  

8 июля 2014 года Уильямс получил программное обеспечение в виде ссылки в подозрительном письме, отправленным неким «Kang Yong Hak», предположительно, японским инженером. Почтовый ящик отправителя с тех пор был недоступен.

Электронное письмо содержало ссылку на Dropbox с zip-файлом, в котором хранилась копия программного обеспечения SiliVaccine, файл с руководством пользователя на корейском языке и подозрительный файл, позиционируемый как патч для SiliVaccine.

После подробного экспертного анализа файлов модуля проверки SiliVaccine исследовательская группа Check Point обнаружила, что целые куски программного кода SiliVaccine полностью копируют решения по кибербезопасности Trend Micro. Более того, совпадения были хорошо замаскированы создателями SiliVaccine. Поскольку Trend Micro — это японская компания, а Япония и Северная Корея не находятся ни в каких дипломатических или политических отношениях, это открытие стало весьма неожиданным.

Конечно, цель антивируса — блокировать все известные сигнатуры вредоносных программ. Однако более глубокое исследование SiliVaccine показало, что оно было разработано таким образом, чтобы игнорировать одну сигнатуру, которая блокируется механизмом обнаружения Trend Micro. Пока неясно, что это за сигнатура, однако можно предположить, что северокорейский режим не хочет предупреждать своих пользователей об этом.

Исследование показало, что в SiliVaccine скрывался вредонос JAKU. Не факт, что это было частью антивируса, вредоносное ПО могли использовать, чтобы атаковать журналистов, таких как г-н Уильямс.

JAKU — это очень устойчивая ботсеть, которая распространяется с помощью пиратских программ и BitTorrent и заразила около 19 000 жертв. Несмотря на широкое распространение, вредонос нацелен на конкретных индивидуальных жертв как в Южной Корее, так и в Японии, включая членов международных неправительственных организаций (НПО), инженерных компаний, ученых и государственных служащих.

«В ходе нашего расследования было обнаружено, что файл JAKU был подписан сертификатами некой компанией Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd, той же компании, чьи сертификаты использовались для подписания файлов известной APT-атаки Dark Hotel. Предполагается, что и за JAKU, и за Dark Hotel стоят злоумышленники из Северной Кореи», — пишут специалисты Check Point.

Кроме первоначального письма с копией северокорейского антивируса, полученной от японского отправителя, исследователи также выявили другие связи с Японией. 

В ходе расследования специалисты Check Point обнаружили имена компаний, которые, как считается, создали SiliVaccine, двое из них — PGI (Pyonyang Gwangmyong Information Technology) и STS Tech-Service. Похоже, что STS Tech-Service — это северокорейское учреждение, которое ранее сотрудничало с другими японскими компаниями, такими как Silver Star и Magnolia.

Открытие, совершенное в ходе исследования SiliVaccine, вполне может вызвать подозрения в подлинности и мотивах продуктов ИТ-безопасности. Хотя выявление связей и авторства всегда является сложной задачей, можно точно сказать, что создатели SiliVaccine используют преступные инструменты и преследуют сомнительные цели.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лаборатория Касперского усовершенствовала защиту для виртуальных сред

«Лаборатория Касперского» выпустила новую версию приложения «Kaspersky Security для виртуальных сред | Лёгкий агент», входящего в состав решения Kaspersky Security для виртуальных и облачных сред. Помимо улучшения защитных функций, в продукте были оптимизированы возможности развёртывания, а также добавлена поддержка новых виртуальных платформ и гипервизоров. Решение теперь может эффективно защищать даже очень крупные инфраструктуры – до 100 тысяч виртуальных машин – без воздействия на производительность виртуальных серверов и рабочих станций.

Для того чтобы организации могли получить доступ к качественной защите виртуальных систем вне зависимости от используемой платформы виртуализации, «Лаборатория Касперского» постоянно расширяет набор поддерживаемых гипервизоров. Так, обновлённый Kaspersky Security для виртуальных сред | Лёгкий агент совместим с ещё двумя платформами: Huawei FusionSphere и Скала-Р. Кроме того, теперь приложение поддерживает динамические теги VMware NSX, которые позволяют быстрее реагировать на инциденты на виртуальных машинах или даже полностью предотвращать их.

С целью оптимизировать развёртывание решения в крупных средах в новой версии Kaspersky Security для виртуальных сред | Лёгкий агент был усовершенствован алгоритм обнаружения и выбора виртуальных устройств безопасности (Security Virtual Machine – SVM) для установки лёгкого агента. Это не только ускоряет внедрение, но также автоматизирует процесс распределения нагрузки на виртуальные машины.

В новой версии решения предусмотрена поддержка разделения доступа по ролям (role-based access control – RBAC) – то есть определённые права предоставляются конкретному администратору или выбранным типам сотрудников. Такой подход позволяет оптимизировать управление системой безопасности виртуальной инфраструктуры в крупномасштабных средах с большим количеством пользователей.

Наконец, обновлённое приложение предоставляет дополнительные возможности защиты для виртуальной инфраструктуры. Так, теперь для контроля запуска программ можно использовать режим чёрного списка, с помощью которого можно заблокировать запуск определённых приложений на виртуальных машинах. Также можно проверять на наличие угроз защищённый трафик https. А совершенствование функции защиты от эксплойтов предотвратит возможность использования уязвимостей для проникновения вредоносного ПО в виртуальные среды и повышения привилегий.

Кроме того, Kaspersky Security для виртуальных сред | Лёгкий агент теперь полностью совместим со специализированным решением для защиты рабочих мест и эффективного реагирования на инциденты Kaspersky Endpoint Detection and Response (Kaspersky EDR). В совокупности оба этих продукта дают возможность ещё лучше контролировать ситуацию с кибербезопасностью в наиболее уязвимых местах – на рабочих станциях, в том числе виртуальных, а также на серверах.

«Виртуальные и облачные инфраструктуры всё больше привлекают современный бизнес своей гибкостью и доступностью. И если для компании в целом виртуальная среда – это преимущество, то для специалистов по кибербезопасности она нередко является источником дополнительной «головной боли». И мы понимаем их: чем сложнее и масштабнее IT-инфраструктура, тем больше времени, сил и ресурсов нужно для поддержания её работоспособности и безопасности. Вот почему мы так много внимания уделяем не только защитным возможностям нашего решения для виртуальных сред, но и удобству его использования – в частности лёгкости развёртывания, масштабирования и управления, совместимости с популярными платформами», – поясняет Сергей Марцынкьян, руководитель отдела продуктового маркетинга для корпоративного бизнеса «Лаборатории Касперского».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru