北韓防毒軟件內含病毒 故意設漏洞打開後門

雖然已經進入互聯網的資訊發達年代,但是北韓相關事情很多仍然披著神秘面紗,近日一家網絡保安公司就取得年代久遠的北韓防毒軟件「SiliVaccine」的樣本,並發現內裡包含有後門程式,一邊保護用戶免受外來的威脅,同時令背後的公司監視用戶的網聯網活動。

來自神秘線人的軟件樣本
這次網絡保安公司 Check Point 能夠分析的 SiliVaccine 樣本來自一名記者 Martyn Williams,Williams 在 2014 年經過電郵從一名日本線人「Kang Yong Hak」,收到一條神秘的 Dropbox 連結下載該軟件,而該電郵帳戶很快便消聲匿跡。

Williams 當時詳細報導了 SiliVaccine 的功能,其中提到當時的版本是 4.0,產品早於 2002 年推出,是 Pyonyang Gwangmyong Information Technology and STS Tech-Service 的出品。在好奇心和謹慎的驅使下,他在 2014 年曾經聯絡過可靠的英國防毒軟件公司,而對於表示 Williams 收到的 SiliVaccine 樣本「似乎不是惡意程式」。

不明方法取得 Trend Micro 防毒引擎代碼
在數個星期之前,Check Point 再次檢查 Williams 2014 年的樣本,結果顯示 SiliVaccine 防毒引擎代碼屬於日本公司 Trend Micro 所有,並且發現軟件的安裝程式以補丁的形式包含 Jaku 惡意程式在內,令軟件刻意無視特定的惡意代碼特徵,使軟件存在保安漏洞容許黑客安裝惡意程式而不觸動軟件的警報。

記者身份可能成為針對攻擊目標
Check Point 的研究人員相信 Williams 個人受到北韓方面針對攻擊,現時未知 Williams 是記者的身份而被針對,還是一個網絡惡意攻擊活動企圖存取他的電腦資料,研究人員傾向相信 Williams 取得的樣本是大型散播的其中之一,因為 Check Point 從其他渠道取得的樣本,發現相同監視功能和安裝方法到 PC 上的 Jaku 惡意程式。

Check Point 從另一個可靠渠道取得的樣本屬於較舊的 2003 版,相關的軟件、兩款相隔十多年的版本,都顯示了刻意製造保安漏洞,安裝後門程式並非偶發性事件,更重要是,他們分析的版本並非經過某人修改或偽裝的版本。

出品公司與北韓政府有合作
Trend Micro 方面證實 SiliVaccine 軟件中含有他們「陳年」的掃瞄引擎 VSAPI,但不知 SiliVaccine 如何得到 VSAPI 掃瞄引擎的代碼,不過根據 SiliVaccine 估計,產品發行商 STS Tech-Service 曾經在日本與 Silver Star 和 Magnolia 合作,而在北韓則與韓國電腦中心 (Korea computer Center) 合作。Trend Micro 方面強調 SiliVaccine 使用的「陳年」防毒引擎並不會危害該公司現時和以前的產品。

Check Point 方面也無法確定 SiliVaccine 與北韓政府的關係有多密切,軟件中把一家北韓國營企業 PGI 收錄在作者名單之內,而另一位開發者則是 STS Tech-Service,似乎與政府及韓國電腦中心有緊密聯繫。

此外,Check Point 發現惡意程式 Jaku 的電子證書,由一家名為 Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd. 所發出,該公司發出的證書同時也被知名的 APT 組織「Dark Hotel」所採用,而 Dark Hotel 也一直被認為背後由北韓支持。

資料來源:Threat Post

Comments are closed