HayCanal.com

SiliVaccine: el antivirus norcoreano malicioso

SiliVaccine: el antivirus norcoreano malicioso

El equipo de investigadores de Check Point Software Technologies, proveedor líder especializado en ciberseguridad a nivel mundial, han analizado el antivirus de Corea del Norte SiliVaccine.

Uno de los factores interesantes es que grandes partes de su código son copias directas de una versión de hace 10 años de un antivirus de la empresa tecnológica japonesa de seguridad Trend Micro.

Un correo electrónico sospechoso

Esta investigación comenzó cuando nuestro el equipo de investigación de Check Point recibió una muestra muy rara del software antivirus SiliVaccine de Corea del Norte de parte de Martyn Williams, un periodista freelance especializado en tecnología norcoreana.

El ocho de julio de 2014, Williams recibió el software como un enlace en un correo electrónico sospechoso de parte de alguien que usaba el nombre `Kang Yong Hak'. El buzón del remitente ha quedado inaccesible.

El extraño correo electrónico enviado por 'Kang Yong Hak', supuestamente un ingeniero japonés, contenía un enlace a un archivo zip alojado en Dropbox que contenía una copia de SiliVaccine, un archivo readme en coreano que indicaba cómo utilizar el software y un archivo de aspecto sospechoso que se presentaba como un parche de actualización.

Código fuente de Trend Micro

Después de un análisis forense detallado de los archivos del motor de SiliVaccine, Check Point descubrió coincidencias exactas con el código del antivirus de Trend Micro, un proveedor de ciberseguridad independiente. Además, esta pieza de código estaba oculta. Este descubrimiento fue muy sorprendente, ya que Trend Micro es una empresa con sede en Japón, país que no tiene ninguna relación oficial diplomática ni política.

Por supuesto, el propósito de un antivirus es bloquear todas las firmas de malware conocidas. Sin embargo, una investigación más profunda sobre SiliVaccine descubrió que estaba diseñado para pasar por alto una firma en particular, que normalmente se espera que detenga, y que Trend Micro es capaz de detener. Aunque no está claro cuál es realmente esta firma, lo que sí está claro es que el régimen norcoreano no quiere alertar a sus usuarios al respecto.

Malware incluido

En cuanto al supuesto archivo de actualización de parches, se descubrió que se trataba del malware JAKU. Esto no era necesariamente parte del antivirus, pero podría haber sido incluido en el archivo zip como una forma de apuntar a periodistas como el Sr. Williams.

En resumen, JAKU es una botnet maliciosa que ha infectado a unas 19.000 víctimas, principalmente a través de archivos corruptos compartidos a través de BitTorrent. Sin embargo, se ha visto que se dirige y rastrea específicamente a víctimas de Corea del Sur y Japón, incluyendo miembros de Organizaciones No Gubernamentales Internacionales (ONGs), empresas de ingeniería, académicos, científicos y empleados gubernamentales.

La investigación de Check Point descubrió que el expediente JAKU estaba firmado con un certificado expedido a una tal "Ningbo Gaoxinqu zhidian Electric Power Technology Co, Ltd", la misma empresa que se utilizó para firmar los expedientes de otro conocido grupo de ciberamenazas, "Dark Hotel". Se cree que tanto JAKU como Dark Hotel son propiedad de ciberdelincuentes norcoreanos.

La conexión con Japón

Los investigadores de Check Point han descubierto varias conexiones con Japón, además del email enviado por un supuesto ciudadano nipón. Dos de las empresas sospechosas de crear SiliVaccine son PGI (Pyonyang Gwangmyong Information Technology) y STS Tech-Service. La segunda de ellas parece ser una agencia gubernamental norcoreana que ya ha trabajado con otras empresas, como Silver Star y Magnolia, con sede en Japón.

Conclusión

Esta reveladora exploración de SiliVaccine puede levantar sospechas sobre la autenticidad y los motivos detrás de los productos de ciberseguridad y de las operaciones de Corea del Norte.

Aunque la atribución es siempre una tarea difícil en la ciberseguridad, hay muchas preguntas que surgen de estos hallazgos. Lo que está claro, sin embargo, son las prácticas turbias y los objetivos cuestionables de los creadores y patrocinadores de SiliVaccine.


También te puede gustar: