Il team di ricerca di Check Point Software Technologies ha recentemente svolto un’indagine su SiliVaccine, l’antivirus sviluppato in Corea del Nord. Tra i numerosi elementi di interesse, emerge il fatto che una componente chiave del codice di SiliVaccine è una copia di dieci anni fa di uno dei componenti software dell’azienda giapponese Trend Micro.
Dopo aver ricevuto un raro sample del codice di SiliVaccine da Martyn Williams, giornalista freelance specializzato in tecnologia nordcoreana, il team di ricerca di Check Point Software Technologies ha avviato un’analisi dettagliata dei file di SiliVaccine, trovando una serie di corrispondenze esatte tra il codice dell’antivirus e quella del motore di rilevamento malware di Trend Micro.
Lo stesso Williams ha ricevuto il software come link all’interno di una email sospetta ricevuta l’8 luglio 2014 da parte di qualcuno che si faceva chiamare “Kang Yong Hak”, la cui mail box da quel momento divenne irraggiungibile.
La strana email di Kang Yong Hak, presumibilmente un ingegnere giapponese, conteneva il link a un file zip ospitato su Dropbox. Il file compresso conteneva una copia del software SiliVaccine, un readme in lingua coreana con le istruzioni per usarlo, e un file presentato come aggiornamento della patch di SiliVaccine.
Il codice era stato ben nascosto dagli autori di SiliVaccine: poiché Trend Micro è una società giapponese – e Giappone e Corea del Nord sono ufficialmente stati nemici – si tratta di una scoperta sorprendente.
Lo scopo di un antivirus dovrebbe essere quello di bloccare tutti i malware noti. SiliVaccine, tuttavia, non blocca una particolare firma di malware, che normalmente dovrebbe bloccare e che è bloccata dal motore di rilevamento di Trend Micro. Anche se non sia chiaro qual è effettivamente questa firma, è evidente invece che il regime nordcoreano non vuole avvisare i suoi utenti.
Per quanto riguarda il presunto file di aggiornamento della patch, si è scoperto che si trattava del malware JAKU, una botnet altamente resiliente responsabile di un malware che ha già contagiato circa 19.000 vittime, principalmente da condivisioni di file BitTorrent dannosi.
Tutta l’analisi di Check Point Software Technologies e la risposta di Trend Micro è disponibile sul blog della società israeliana .
