Malware Analyse
Nordkoreas AV-Programm SiliVaccine enthält Quellcode Kopien von Trend Micro
Quellcode Kopien inklusive Malware
Nach einer detaillierten forensischen Analyse der Engine-Dateien von SiliVaccine – der Software-Komponente, die die Kernfunktion des Antivirenprogramms bietet – entdeckte das Forschungsteam exakte Übereinstimmungen von SiliVaccine mit großen Teilen des Antivirenprogramms von Trend Micro. Dazu müssen die Entwickler, die SiliVaccine entwickelt haben, entweder Zugriff auf den Quellcode der Antiviren-Engine von Trend Micro oder auf eine Bibliotheksdatei gehabt haben.
Security Forscher von Check Point® Software Technologies entdecken in selbst entwickelter Antiviren-Software SiliVaccine aufschlussreiche Details über die Aktivitäten Nordkoreas. Einer von mehreren interessanten Faktoren ist, dass große Teile des SiliVaccine Codes direkte Kopien der AV-Software von Trend Micro, einem japanischen Unternehmen, sind. Das Security Forschungsteam erhielt von Martyn Williams, einem freien Journalisten mit Schwerpunkt auf nordkoreanischer Technologie, eine sehr seltene Probe der Antiviren-Software "SiliVaccine" aus Nordkorea.
Dies ist besorgniserregend, da es sich bei beiden Komponenten um proprietäre Software handelt, die der Öffentlichkeit nicht allgemein zugänglich ist. Der Zweck eines Antivirenprogramms besteht natürlich darin, alle bekannten Malware-Signaturen zu blockieren. Eine eingehendere Untersuchung von SiliVaccine ergab jedoch, dass eine bestimmte Signatur übersehen werden sollte und die von der Trend Micro Detection Engine blockiert wird. Dabei handelt es sich um die JAKU-Malware handelt. JAKU ist ein hoch belastbares Botnet, das rund 19.000 Opfer infiziert hat, vor allem durch bösartige BitTorrent-Dateifreigaben. Es hat sich jedoch gezeigt, dass es sich sowohl in Südkorea als auch in Japan um spezifischere individuelle Opfer handelt, darunter Mitglieder von internationalen Nichtregierungsorganisationen (NGOs), Ingenieurbüros, Akademiker, Wissenschaftler und Regierungsangestellte.
Stellungnahme von Trend Micro: „Trend Micro ist sich der Untersuchungen von Check Point zum nordkoreanischen Antivirenprodukt "Silivaccine" bewusst, und Check Point hat uns eine Kopie der Software zur Überprüfung zur Verfügung gestellt. Obwohl wir die Quelle oder Authentizität dieser Kopie nicht bestätigen können, enthält sie offenbar ein Modul, das auf einer über 10 Jahre alten Version der weit verbreiteten Trend Micro VSAPI-Scan-Engine basiert, die von einer Vielzahl unserer Produkte verwendet wird. Trend Micro hat nie Geschäfte in oder mit Nordkorea getätigt und ist zuversichtlich, dass eine solche Nutzung völlig unlizenziert ist. Die fragliche VSAPI-Version ist ziemlich alt und wurde im Laufe der Jahre durch verschiedene OEM-Deals in Sicherheitsprodukte von Drittanbietern integriert, so dass die spezifischen Mittel, mit denen sie von den Herstellern von SiliVaccine erhalten wurde, unbekannt sind. Obwohl Trend Micro eine starke Position gegen Softwarepiraterie einnimmt, sind wir nicht der Meinung, dass die fragliche verletzende Verwendung ein wesentliches Risiko für unsere Kunden darstellt.“
Trend Micros Hinweis, dass eine weithin genutzte Lizenzversion einer Bibliothek missbraucht wurde und hinter der Verwendung der über 10 Jahre alten Version der Scan-Engine steht, wird durch eine zusätzliche Analyse unterstützt, die das Team ebenfalls aus einer älteren Version von SiliVaccine erstellt hat. Dies deutet darauf hin, dass es sich nicht um ein einmaliges Ereignis handelt.
