揭露調(diào)查：在一項獨家研究中，Check Point 研究人員針對朝鮮本土防病毒軟件 SiliVaccine 進行了深入的揭露性調(diào)查。其中一個引人關(guān)注的因素是，SiliVaccine 代碼的一個關(guān)鍵組件抄襲了日本公司 Trend Micro（趨勢科技）十年前的軟件組件。

可疑電子郵件 

Martyn Williams 是一名以朝鮮科技為主要素材的自由撰稿人，我們的研究團隊此前從這名新聞工作者處收到一份非常罕見的朝鮮“SiliVaccine”防病毒軟件樣本，由此開始展開了本次調(diào)查。Williams 本人曾在一封可疑電子郵件中收到該軟件的鏈接，這封電子郵件發(fā)送于 2014 年 7 月 8 日，署名“Kang Yong Hak”。隨即，這名發(fā)件人的信箱自此遁形，無法回復(fù)訪問。

這封奇怪電子郵件的發(fā)件人“Kang Yong Hak”自稱是一名日本工程師，郵件中包含 Dropbox 托管的 zip 文件鏈接，文件中有一份 SiliVaccine 軟件副本、一份講解該軟件使用方法的朝鮮語自述文件，以及一份偽裝成 SiliVaccine 更新補丁的可疑文件

Trend Micro 的掃描引擎

在對 SiliVaccine 引擎文件這個用于提供防病毒軟件的核心文件掃描功能的組件進行過詳細取證分析之后，我們的研究團隊發(fā)現(xiàn) SiliVaccine 與 Trend Micro 公司十年前防病毒引擎代碼的大段內(nèi)容完全匹配，后者是日本的一家完全獨立的網(wǎng)絡(luò)安全解決方案供應(yīng)商。要做到這一點，構(gòu)建 SiliVaccine 的開發(fā)人員需要有權(quán)限任意訪問 Trend Micro 商業(yè)發(fā)布產(chǎn)品的已編譯資料庫，或從理論上講，具有源代碼訪問權(quán)限。

防病毒軟件的目的理應(yīng)在于攔截所有已知惡意軟件簽名。然而，對 SiliVaccine 進行更深一步調(diào)查后發(fā)現(xiàn)，該軟件設(shè)計目的在于忽略一個特定簽名，而實際在通常情況下本應(yīng)對該簽名進行攔截，并且 Trend Micro 檢測引擎會對此予以攔截。盡管尚不清楚此簽名的實際內(nèi)容，但很明確的是，朝鮮政體并不想就此向該軟件的用戶發(fā)出警示。

捆綁的惡意軟件

至于所謂的補丁更新文件，研究發(fā)現(xiàn)其實是 JAKU 惡意軟件。這并非防病毒軟件的必要部分，但可能被放在 zip 文件中用于將攻擊目標指向 Williams 等新聞工作者。

簡言之，JAKU 是一個具有高強適應(yīng)能力的僵尸網(wǎng)絡(luò)，其形成的惡意軟件主要通過惡意 BitTorrent 文件共享進行傳播，目前已經(jīng)感染了約 19,000 個受害者。不過，據(jù)悉該惡意軟件已經(jīng)將目標對準韓國和日本兩國的更多特定個人受害者，包括國際非政府組織 (NGO) 的成員、工程公司人員、學(xué)術(shù)界人士、科學(xué)家和政府雇員，并對這些受害者進行追蹤。

我們的調(diào)查發(fā)現(xiàn)，盡管 JAKU 文件已通過頒發(fā)給某“Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd”的證書進行簽署，但后者也正是另一臭名昭著的 APT 組織 “Dark Hotel”用于簽署文件的同一家公司。JAKU 和 Dark Hotel 都可看作朝鮮威脅執(zhí)行者的“杰作”。

與日本的關(guān)聯(lián)

日本和朝鮮的政治和外交關(guān)系并不友好，因此在看似由日本國民發(fā)送的初始電子郵件中包含 SiliVaccine 副本難免令人生疑。然而這種可能性很低的關(guān)聯(lián)并不止于此，因為我們的研究人員還發(fā)現(xiàn)了指向日本的其他關(guān)聯(lián)。

調(diào)查過程中，我們發(fā)現(xiàn)了據(jù)信編寫 SiliVaccine 的公司名稱：PGI (Pyonyang Gwangmyong Information Technology) 和 STS Tech-Service。

據(jù)悉，STS Tech-Service 已與其他公司展開合作，包括在日本本土運營的兩家公司“Silver Star”和“Magnolia”，它們以往都曾與朝鮮政府實體朝鮮電腦研究中心 (Korea Computer Center, KCC) 有過合作。

Trend Micro 的回應(yīng)

我們的團隊與 Trend Micro 聯(lián)系告知了關(guān)于 SiliVaccine 中正使用其檢測引擎的情況，該公司迅速做出回應(yīng)并給予高度配合。他們的回應(yīng)如下：

“Trend Micro 知曉 Check Point 關(guān)于朝鮮防病毒產(chǎn)品‘SiliVaccine’的研究，Check Point 也已向我方提供該軟件的副本以供查證。雖然我方無法確認該副本的來源和真實性， 但很顯然，這款產(chǎn)品包含的模組基于曾在十多年前廣泛用于我們各種產(chǎn)品中的 Trend Micro 掃描引擎。Trend Micro 從未在朝鮮開展過業(yè)務(wù)運營，也從未與之進行過業(yè)務(wù)往來。我方確信，對這一模組的任何此類使用完全未經(jīng)許可且為非法行為，而且我方也未看到任何涉及源代碼的證據(jù)。討論所涉的掃描引擎版本早已過時，并且通過多年的 OEM 交易，已在 Trend Micro 的商業(yè)產(chǎn)品和第三方安全產(chǎn)品中廣為應(yīng)用，因此 SiliVaccine 創(chuàng)建者采用何種特定手段獲得了該版本尚且不明。Trend Micro 會對軟件盜版行為采取強硬立場，但是此種情況中的法律追索收效甚微。我方相信討論所涉的侵權(quán)使用不會對我們的客戶構(gòu)成任何實質(zhì)風險。” 

SiliVaccine 使用 Trend Micro 掃描引擎十多年前的版本，可能暗示著后者廣獲許可的資料庫遭到濫用，這一情況也在 Check Point 團隊針對 SiliVaccine 舊版本做出更多分析后得到佐證。這表明此情況并非偶然現(xiàn)象。

總結(jié)

本次對 SiliVaccine 的揭露性探查能夠充分引起對朝鮮這一“隱士王國”的 IT 安全產(chǎn)品和運營的可靠性與動機產(chǎn)生懷疑。

歸因判斷始終是網(wǎng)絡(luò)安全方面的艱巨任務(wù)，而我們的調(diào)查結(jié)果引發(fā)了諸多疑問。但 SiliVaccine 創(chuàng)建者的陰暗行徑和可疑用心毋庸置疑。我們的調(diào)查指出了在第五代網(wǎng)絡(luò)威脅形勢中使用國家支持技術(shù)的另一個示例。

如要側(cè)重技術(shù)角度了解 SiliVaccine 內(nèi)情，請查看 Check Point Research 的調(diào)查結(jié)果。