Il team di ricerca di Check Point Software Technologies ha svolto un’indagine sull’antivirus sviluppato in Corea del Nord, denominato SiliVaccine. Tra i numerosi fattori interessanti il fatto che una componente chiave del codice SiliVaccine è una copia di dieci anni di uno dei componenti software dell’azienda giapponese Trend Micro.
Dopo aver ricevuto un raro sample di SiliVaccine da un giornalista freelance nordcoreano specializzato in tecnologia, di nome Martyn Williams, il team di ricerca di Check Point Software Technologies ha avviato un’analisi dettagliata dei file di SiliVaccine e ha trovato corrispondenze esatte tra il codice dell’antivirus e quella del motore di rilevamento malware di Trend Micro.
Questo codice era stato ben nascosto dagli autori di SiliVaccine.
Poiché Trend Micro è una società giapponese e Giappone e Corea del Nord sono ufficialmente Stati nemici, questa è una scoperta sorprendente.
Naturalmente, lo scopo di un antivirus è bloccare tutte i malware noti. Tuttavia, SiliVaccine non blocca una particolare firma di malware, che normalmente dovrebbe bloccare e che è bloccata dal motore di rilevamento di Trend Micro. Anche se non sia chiaro qual è effettivamente questa firma, è evidente invece che il regime nordcoreano non vuole avvisare i suoi utenti.
Per quanto riguarda il presunto file di aggiornamento della patch, si è scoperto che si trattava del malware JAKU, una botnet altamente resiliente responsabile di un malware che ha già contagiato circa 19.000 vittime, principalmente da condivisioni di file BitTorrent dannosi.
Questo non era necessariamente parte dell’antivirus, ma avrebbe potuto essere incluso nel file zip come un modo per raggiungere giornalisti come Mr. Williams.
Tutta l’analisi di Check Point Software Technologies e la risposta di Trend Micro è disponibile sul blog della società israeliana a questo link:
https://blog.checkpoint.com/2018/05/01/silivaccine-special-report-north-koreas-anti-virus/