SiliVaccine: el antivirus norcoreano malicioso

4 mayo, 2018
27 Compartido 1,748 Visualizaciones

Check Point ha analizado este antivirus, que incluye una copia de la botnet JAKU.

El equipo de investigadores de Check Point Software Technologies, proveedor líder especializado en ciberseguridad a nivel mundial, han analizado el antivirus de Corea del Norte SiliVaccine. Uno de los factores interesantes es que grandes partes de su código son copias directas de una versión de hace 10 años de un antivirus de Trend Micro, una empresa tecnológica japonesa.

Un correo electrónico sospechoso

Esta investigación comenzó cuando nuestro el equipo de investigación de Check Point recibió una muestra muy rara del software antivirus SiliVaccine de Corea del Norte de parte de Martyn Williams, un periodista freelance especializado en tecnología norcoreana.

El ocho de julio de 2014, Williams recibió el software como un enlace en un correo electrónico sospechoso de parte de alguien que usaba el nombre `Kang Yong Hak’. El buzón del remitente ha quedado inaccesible.

El extraño correo electrónico enviado por ‘Kang Yong Hak‘, supuestamente un ingeniero japonés, contenía un enlace a un archivo zip alojado en Dropbox que contenía una copia de SiliVaccine, un archivo readme en coreano que indicaba cómo utilizar el software y un archivo de aspecto sospechoso que se presentaba como un parche de actualización.

Código fuente de Trend Micro

Después de un análisis forense detallado de los archivos del motor de SiliVaccine, Check Point descubrió coincidencias exactas con el código del antivirus de Trend Micro, un proveedor de ciberseguridad independiente. Además, esta pieza de código estaba oculta. Este descubrimiento fue muy sorprendente, ya que Trend Micro es una empresa con sede en Japón, país que no tiene ninguna relación oficial diplomática ni política.

Por supuesto, el propósito de un antivirus es bloquear todas las firmas de malware conocidas. Sin embargo, una investigación más profunda sobre SiliVaccine descubrió que estaba diseñado para pasar por alto una firma en particular, que normalmente se espera que detenga, y que Trend Micro es capaz de detener. Aunque no está claro cuál es realmente esta firma, lo que sí está claro es que el régimen norcoreano no quiere alertar a sus usuarios al respecto.

Malware incluido

En cuanto al supuesto archivo de actualización de parches, se descubrió que se trataba del malware JAKU. Esto no era necesariamente parte del antivirus, pero podría haber sido incluido en el archivo zip como una forma de apuntar a periodistas como el Sr. Williams.

En resumen, JAKU es una botnet maliciosa que ha infectado a unas 19.000 víctimas, principalmente a través de archivos corruptos compartidos a través de BitTorrent. Sin embargo, se ha visto que se dirige y rastrea específicamente a víctimas de Corea del Sur y Japón, incluyendo miembros de Organizaciones No Gubernamentales Internacionales (ONGs), empresas de ingeniería, académicos, científicos y empleados gubernamentales.

La investigación de Check Point descubrió que el expediente JAKU estaba firmado con un certificado expedido a una tal «Ningbo Gaoxinqu zhidian Electric Power Technology Co, Ltd», la misma empresa que se utilizó para firmar los expedientes de otro conocido grupo de ciberamenazas, «Dark Hotel». Se cree que tanto JAKU como Dark Hotel son propiedad de ciberdelincuentes norcoreanos.

La conexión con Japón

Los investigadores de Check Point han descubierto varias conexiones con Japón, además del email enviado por un supuesto ciudadano nipón. Dos de las empresas sospechosas de crear SiliVaccine son PGI (Pyonyang Gwangmyong Information Technology) y STS Tech-Service. La segunda de ellas parece ser una agencia gubernamental norcoreana que ya ha trabajado con otras empresas, como Silver Star y Magnolia, con sede en Japón.

Conclusión

Esta reveladora exploración de SiliVaccine puede levantar sospechas sobre la autenticidad y los motivos detrás de los productos de ciberseguridad y de las operaciones de Corea del Norte.

Aunque la atribución es siempre una tarea difícil en la ciberseguridad, hay muchas preguntas que surgen de estos hallazgos. Lo que está claro, sin embargo, son las prácticas turbias y los objetivos cuestionables de los creadores y patrocinadores de SiliVaccine.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Nueva campaña de sextorsión que se hace pasar por la CIA
APTS
19 compartido3,008 visualizaciones
APTS
19 compartido3,008 visualizaciones

Nueva campaña de sextorsión que se hace pasar por la CIA

Mónica Gallego - 28 marzo, 2019

La Oficina de Seguridad del Internauta alerta de una nueva campaña de sextorsión, esta vez con una pequeña vuelta de tuerca, ya que…

Mobileiron cualificada por el CCN para cumplir con el Esquema Nacional de Seguridad
Actualidad
10 compartido1,158 visualizaciones
Actualidad
10 compartido1,158 visualizaciones

Mobileiron cualificada por el CCN para cumplir con el Esquema Nacional de Seguridad

Alicia Burrueco - 17 septiembre, 2019

Mobileiron Core, la plataforma de gestión y seguridad para dispositivos móviles de MobileIron, es la primera en nuestro país en…

Top 5 startup de ciberseguridad en el Cybertech Startup Show 2018
Actualidad
32 compartido1,966 visualizaciones
Actualidad
32 compartido1,966 visualizaciones

Top 5 startup de ciberseguridad en el Cybertech Startup Show 2018

Vicente Ramírez - 2 octubre, 2018

Cybertech Startup Show mostró en intervalos de 4 minutos por ponente,  5 de las startups más punteras en el sector…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.