Um email suspeitoso
Esta investigação começou quando a equipa de investigação da Check Point recebeu uma amostra muito rara do software antivírus SiliVaccine da Coreia do Norte das mãos de Martyn Williams, um jornalista freelance especializado em tecnologia norte-coreana.
A oito de julho de 2014, Williams recebeu o software como um link num email suspeito de alguém que dava pelo nome de `Kang Yong Hak'. A caixa de correio do remetente tornou-se inacessível.
O estranho email enviado por 'Kang Yong Hak', supostamente um engenheiro japonês, continha um link para um ficheiro zip alojado na Dropbox que tinha dentro uma cópia do SiliVaccine, um ficheiro readme em coreano que indicava como utilizar o software, bem como um ficheiro de aspeto suspeito que se apresentava como um patch de atualização.
Código fonte da Trend Micro
Despois de uma análise forense detalhada aos ficheiros do motor do SiliVaccine, a Check Point descobriu coincidências exatas com o código do antivírus da Trend Micro, um fabricante de cibersegurança independente. Além disso, esta peça de código estava oculta. Esta descoberta foi muito surpreendente, já que a Trend Micro é uma empresa com sede no Japão, país que não tem qualquer relação oficial diplomática nem política com a Coreia do Norte.
É evidente que o propósito de um antivírus é bloquear todas as assinaturas de malware conhecidas. No entanto, uma investigação mais profunda ao SiliVaccine determinou que estava desenhado para ignorar uma assinatura em particular, que a Trend Micro é capaz de deter. Embora não seja claro qual é realmente esta assinatura, o que é, isso sim, evidente, é que o regime norte-coreano não pretende alertar os seus utilizadores para este facto.
Malware incluído
Quanto ao suposto ficheiro de atualização de patches, descobriu-se que se tratava do malware JAKU. Não fazia necessariamente parte do antivírus, mas pode ter sido incluído no ficheiro zip como uma forma de atingir jornalistas como o Martyn Williams.
Em resumo, o JAKU é uma botnet maliciosa que infetou cerca de 19.000 vítimas, principalmente através de ficheiros corruptos partilhados por BitTorrent. No entanto, está comprovado que se dirige e rastreia especificamente vítimas na Coreia do Sul e Japão, incluindo membros de Organizações Não Governamentais Internacionais (ONGs), empresas de engenharia, académicos, cientistas e empregados governamentais.
A investigação da Check Point descobriu que o JAKU estava assinado com um certificado expedido para uma tal "Ningbo Gaoxinqu zhidian Electric Power Technology Co, Ltd", a mesma empresa que foi usada para assinar o malware de outro conhecido grupo de ciberameaças, "Dark Hotel". Acredita-se que tanto JAKU como Dark Hotel são propriedade de cibercriminosos norte-coreanos.
A ligação ao Japão
Os investigadores da Check Point descobriram várias ligações ao Japão, para além do email enviado por um suposto cidadão japonês. Duas das empresas suspeitas de criar o SiliVaccine são PGI (Pyonyang Gwangmyong Information Technology) e STS Tech-Service. A segunda delas parece ser uma agência governamental norte-coreana que já trabalhou com outras empresas, como a Silver Star e a Magnolia, com sede no Japão.
Conclusão
Esta reveladora exploração do SiliVaccine pode levantar suspeitas sobre a autenticidade e motivos por detrás dos produtos de cibersegurança e das operações da Coreia do Norte.
Embora a atribuição seja sempre uma tarefa difícil na cibersegurança, há muitas preguntas que surgem após estas descobertas. O que é claro, no entanto, é a pática de ações duvidosas e objetivos questionáveis por parte dos criadores e patrocinadores do SiliVaccine.
Pode consultar os dados técnicos sobre o SiliVaccine no blogue da Check Point Research em https://research.checkpoint.com/silivaccine-a-look-inside-north-koreas-anti-vírus/ .
