Check Point acusa a Corea del Norte de crear un antivirus malicioso

04/05/2018

Miguel Ángel Valero. El propósito de estos sistemas es bloquear todas las firmas de malware conocidas, pero SiliVaccine  estaba diseñado para pasar por alto una en particular.

El equipo de investigadores de la firma de ciberseguridad Check Point ha analizado el antivirus de Corea del Norte SiliVaccine. Uno de los factores interesantes es que grandes partes de su código son copias directas de una versión de hace 10 años de un antivirus de Trend Micro, una empresa tecnológica japonesa.

Esta investigación comenzó cuando el equipo de investigación de Check Point recibió una muestra muy rara del software antivirus SiliVaccine de Corea del Norte de parte de Martyn Williams, un periodista freelance especializado en tecnología norcoreana.

Williams recibió el software como un enlace en un correo electrónico sospechoso de parte de alguien que usaba el nombre `Kang Yong Hak’. El buzón del remitente ha quedado inaccesible.

El extraño correo electrónico enviado por ‘Kang Yong Hak’, supuestamente un ingeniero japonés, contenía un enlace a un archivo zip alojado en Dropbox que contenía una copia de SiliVaccine, un archivo readme en coreano que indicaba cómo utilizar el software y un archivo de aspecto sospechoso que se presentaba como un parche de actualización.

Después de un análisis forense detallado de los archivos del motor de SiliVaccine, Check Point descubrió coincidencias exactas con el código del antivirus de Trend Micro, un proveedor de ciberseguridad independiente. Además, esta pieza de código estaba oculta. Este descubrimiento fue muy sorprendente, ya que Trend Micro es una empresa con sede en Japón, país que no tiene ninguna relación oficial diplomática ni política con Corea del Norte.

Por supuesto, el propósito de un antivirus es bloquear todas las firmas de malware conocidas. Sin embargo, una investigación más profunda sobre SiliVaccine descubrió que estaba diseñado para pasar por alto una firma en particular, que normalmente se espera que detenga, y que Trend Micro es capaz de detener. Aunque no está claro cuál es realmente esta firma, lo que sí está claro es que el régimen norcoreano no quiere alertar a sus usuarios al respecto.

En cuanto al supuesto archivo de actualización de parches, se descubrió que se trataba del malware JAKU. Esto no era necesariamente parte del antivirus, pero podría haber sido incluido en el archivo zip como una forma de apuntar a periodistas como Williams.

JAKU es una botnet maliciosa que ha infectado a unas 19.000 víctimas, principalmente a través de archivos corruptos compartidos a través de BitTorrent. Se dirige y rastrea específicamente a víctimas de Corea del Sur y Japón, incluyendo miembros de Organizaciones No Gubernamentales Internacionales (ONG), empresas de ingeniería, académicos, científicos y empleados gubernamentales.

Los investigadores de Check Point descubrió que JAKU estaba firmado con un certificado expedido a «Ningbo Gaoxinqu zhidian Electric Power Technology Co, Ltd», la misma empresa que se utilizó para firmar los expedientes de otro conocido malware, «Dark Hotel». Se cree que tanto JAKU como Dark Hotel son propiedad de ciberdelincuentes norcoreanos.

Los investigadores de Check Point han descubierto varias conexiones con Japón, además del email enviado por un supuesto ciudadano nipón. Dos de las empresas sospechosas de crear SiliVaccine son Pyonyang Gwangmyong Information Technology (PGIT) y STS Tech-Service. Ésta última parece ser una agencia gubernamental norcoreana que ya ha trabajado con otras empresas, como Silver Star y Magnolia, con sede en Japón.

Esta reveladora exploración de SiliVaccine puede levantar sospechas sobre la autenticidad y los motivos detrás de los productos de ciberseguridad y de las operaciones de Corea del Norte.

«Aunque la atribución es siempre una tarea difícil en la ciberseguridad, hay muchas preguntas que surgen de estos hallazgos. Lo que está claro son las prácticas turbias y los objetivos cuestionables de los creadores y patrocinadores de SiliVaccine», concluye el análisis de Check Point.

 

 

¿Te ha parecido interesante?

(+2 puntos, 2 votos)

Cargando...

Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.