SiliVaccine: el antivirus norcoreano malicioso

4 mayo, 2018
27 Compartido 2,043 Visualizaciones

Check Point ha analizado este antivirus, que incluye una copia de la botnet JAKU.

El equipo de investigadores de Check Point Software Technologies, proveedor líder especializado en ciberseguridad a nivel mundial, han analizado el antivirus de Corea del Norte SiliVaccine. Uno de los factores interesantes es que grandes partes de su código son copias directas de una versión de hace 10 años de un antivirus de Trend Micro, una empresa tecnológica japonesa.

Un correo electrónico sospechoso

Esta investigación comenzó cuando nuestro el equipo de investigación de Check Point recibió una muestra muy rara del software antivirus SiliVaccine de Corea del Norte de parte de Martyn Williams, un periodista freelance especializado en tecnología norcoreana.

El ocho de julio de 2014, Williams recibió el software como un enlace en un correo electrónico sospechoso de parte de alguien que usaba el nombre `Kang Yong Hak’. El buzón del remitente ha quedado inaccesible.

El extraño correo electrónico enviado por ‘Kang Yong Hak‘, supuestamente un ingeniero japonés, contenía un enlace a un archivo zip alojado en Dropbox que contenía una copia de SiliVaccine, un archivo readme en coreano que indicaba cómo utilizar el software y un archivo de aspecto sospechoso que se presentaba como un parche de actualización.

Código fuente de Trend Micro

Después de un análisis forense detallado de los archivos del motor de SiliVaccine, Check Point descubrió coincidencias exactas con el código del antivirus de Trend Micro, un proveedor de ciberseguridad independiente. Además, esta pieza de código estaba oculta. Este descubrimiento fue muy sorprendente, ya que Trend Micro es una empresa con sede en Japón, país que no tiene ninguna relación oficial diplomática ni política.

Por supuesto, el propósito de un antivirus es bloquear todas las firmas de malware conocidas. Sin embargo, una investigación más profunda sobre SiliVaccine descubrió que estaba diseñado para pasar por alto una firma en particular, que normalmente se espera que detenga, y que Trend Micro es capaz de detener. Aunque no está claro cuál es realmente esta firma, lo que sí está claro es que el régimen norcoreano no quiere alertar a sus usuarios al respecto.

Malware incluido

En cuanto al supuesto archivo de actualización de parches, se descubrió que se trataba del malware JAKU. Esto no era necesariamente parte del antivirus, pero podría haber sido incluido en el archivo zip como una forma de apuntar a periodistas como el Sr. Williams.

En resumen, JAKU es una botnet maliciosa que ha infectado a unas 19.000 víctimas, principalmente a través de archivos corruptos compartidos a través de BitTorrent. Sin embargo, se ha visto que se dirige y rastrea específicamente a víctimas de Corea del Sur y Japón, incluyendo miembros de Organizaciones No Gubernamentales Internacionales (ONGs), empresas de ingeniería, académicos, científicos y empleados gubernamentales.

La investigación de Check Point descubrió que el expediente JAKU estaba firmado con un certificado expedido a una tal «Ningbo Gaoxinqu zhidian Electric Power Technology Co, Ltd», la misma empresa que se utilizó para firmar los expedientes de otro conocido grupo de ciberamenazas, «Dark Hotel». Se cree que tanto JAKU como Dark Hotel son propiedad de ciberdelincuentes norcoreanos.

La conexión con Japón

Los investigadores de Check Point han descubierto varias conexiones con Japón, además del email enviado por un supuesto ciudadano nipón. Dos de las empresas sospechosas de crear SiliVaccine son PGI (Pyonyang Gwangmyong Information Technology) y STS Tech-Service. La segunda de ellas parece ser una agencia gubernamental norcoreana que ya ha trabajado con otras empresas, como Silver Star y Magnolia, con sede en Japón.

Conclusión

Esta reveladora exploración de SiliVaccine puede levantar sospechas sobre la autenticidad y los motivos detrás de los productos de ciberseguridad y de las operaciones de Corea del Norte.

Aunque la atribución es siempre una tarea difícil en la ciberseguridad, hay muchas preguntas que surgen de estos hallazgos. Lo que está claro, sin embargo, son las prácticas turbias y los objetivos cuestionables de los creadores y patrocinadores de SiliVaccine.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Mantener actualizados los sistemas reduce a la mitad los daños financieros en caso de una brecha de seguridad
Actualidad
3 compartido904 visualizaciones
Actualidad
3 compartido904 visualizaciones

Mantener actualizados los sistemas reduce a la mitad los daños financieros en caso de una brecha de seguridad

Alicia Burrueco - 16 febrero, 2021

Según el nuevo informe de Kaspersky “Cómo las empresas pueden minimizar el coste de una brecha de seguridad”, las pymes…

Ingecom crece un 13% los primeros nueve meses del año
Actualidad
24 compartido2,220 visualizaciones
Actualidad
24 compartido2,220 visualizaciones

Ingecom crece un 13% los primeros nueve meses del año

José Luis - 4 octubre, 2018

El mayorista de valor especializado en seguridad IT y ciberseguridad alcanza una cifra de negocio que supera los 15,2 millones…

“Para nosotros la innovación es parte fundamental de nuestra identidad y define cómo entendemos la seguridad”
Actualidad
53 compartido2,235 visualizaciones
Actualidad
53 compartido2,235 visualizaciones

“Para nosotros la innovación es parte fundamental de nuestra identidad y define cómo entendemos la seguridad”

Samuel Rodríguez - 30 mayo, 2018

InnoTec es una empresa de ámbito internacional, perteneciente al Grupo Entelgy y especializada en ciberseguridad, inteligencia y gestión y prevención…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.