Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

SiliVaccine : un rapport spécial sur l’antivirus nord-coréen

mai 2018 par Check Point

Cette étude révélatrice de SiliVaccine pourrait bien éveiller des soupçons quant à l’authenticité et aux motivations des produits et des activités de sécurité informatique de cet état reclus.

Bien que l’attribution soit toujours une tâche difficile en matière de cybersécurité, nos conclusions continuent de soulever beaucoup de questions. Ce qui est clair, cependant, ce sont les pratiques louches et les objectifs discutables des créateurs et des commanditaires de SiliVaccine. Notre enquête livre un autre exemple de technologie sponsorisée par un état et utilisée dans la cinquième génération du paysage de cybermenaces.

Découverte : Dans le cadre d’une étude exclusive, des chercheurs de Check Point ont mené une enquête révélatrice sur SiliVaccine, le logiciel antivirus développé en Corée du Nord. Un des facteurs intéressants est que de larges portions du code de SiliVaccine sont des copies directes du logiciel antivirus de Trend Micro, une société japonaise.

Un email suspect

Cette enquête a débuté lorsque notre équipe de chercheurs a reçu un très rare échantillon du logiciel antivirus nord-coréen SiliVaccine de la part de Martyn Williams, un journaliste indépendant spécialisé dans la technologie nord-coréenne. M. Williams avait lui-même reçu le logiciel sous forme de lien dans un email suspect envoyé le 8 juillet 2014, par un individu dénommé « Kang Yong Hak ». La boîte de messagerie de cet expéditeur est depuis inaccessible.

L’email étrange envoyé par « Kang Yong Hak », un prétendu ingénieur japonais, comprenait un lien vers un fichier zip hébergé sur Dropbox qui contenait un exemplaire du logiciel SiliVaccine, un fichier readme en coréen indiquant comment utiliser le logiciel, et un fichier suspect se présentant comme étant un correctif pour SiliVaccine.

Le code source de Trend Micro

Après une analyse détaillée des fichiers du moteur de SiliVaccine, le composant fournissant les fonctionnalités d’analyse antivirus, notre équipe de chercheurs a découvert des correspondances exactes de SiliVaccine avec de larges portions du code de l’antivirus appartenant à Trend Micro, un éditeur entièrement distinct de logiciels antivirus basé au Japon. Pour que cela puisse se produire, les développeurs de SiliVaccine ont dû avoir accès au code source du moteur antivirus de Trend Micro ou à une bibliothèque. Comme ces deux composants sont des logiciels propriétaires et qu’ils ne sont généralement pas accessibles au public, cette découverte est très préoccupante.

Bien sûr, le but d’un antivirus est de bloquer toutes les signatures de logiciels malveillants connus. Cependant, une étude plus approfondie de SiliVaccine a révélé qu’il était conçu pour ignorer une signature particulière, qu’il devrait normalement bloquer, et qui est bloquée par le moteur de détection de Trend Micro. Bien que la nature de cette signature ne soit pas claire, il est en revanche clair que le régime nord-coréen ne souhaite pas en alerter ses utilisateurs.

Logiciel malveillant intégré

En ce qui concerne le supposé correctif, il s’avère qu’il s’agit du logiciel malveillant JAKU. Il ne faisait pas nécessairement partie de l’antivirus, mais aurait pu être inclus dans le fichier zip afin de cibler des journalistes tels que M. Williams.

JAKU est un logiciel malveillant de création de botnet très résilient qui a infecté environ 19 000 victimes, principalement via le partage de fichiers BitTorrent malveillants. Il cible et piste toutefois des victimes plus spécifiques en Corée du Sud et au Japon, notamment des membres d’organisations internationales non gouvernementales (ONG), des sociétés d’ingénierie, des universitaires, des scientifiques et des fonctionnaires.

Notre enquête a révélé que le fichier JAKU a été signé à l’aide d’un certificat délivré à une certaine « Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd », la même entreprise qui a été utilisée pour signer les fichiers de « Dark Hotel », un autre groupe de pirates bien connu. On estime que JAKU et Dark Hotel sont des pirates nord-coréens.

Il est intéressant de noter qu’une précédente analyse d’un serveur de commande et de contrôle de Dark Hotel a fourni les journaux IP de plusieurs victimes, dont beaucoup se trouvent, étonnamment, dans les plages d’adresses IP appartenant à Trend Micro.

La Japanese Connection

Le Japon et la Corée du Nord n’entretiennent ni relations diplomatiques ni relations amicales, ce qui rend assez étrange le fait que l’email initial contenant l’exemplaire de SiliVaccine semble avoir été envoyé par un ressortissant japonais. Le lien improbable ne s’arrête cependant pas là, car d’autres liens avec le Japon ont également été découverts par nos chercheurs.

Au cours de notre enquête, nous avons découvert les noms des sociétés qui auraient créé SiliVaccine : PGI (Pyonyang Gwangmyong Information Technology) et STS Tech-Service.

STS Tech-Service a travaillé avec d’autres entreprises, notamment « Silver Star » et « Magnolia », toutes deux basées au Japon et ayant déjà collaboré avec le KCC (Korea Computer Centre), une entité du gouvernement nord-coréen.

La réponse de Trend Micro

Notre équipe a contacté Trend Micro pour l’informer que son moteur de détection était utilisé dans SiliVaccine. L’entreprise a répondu rapidement en coopérant pleinement. Sa réponse était la suivante :

« Trend Micro est au courant de l’étude menée par Checkpoint sur le produit antivirus nord-coréen Silivaccine qui incorpore apparemment un module reposant sur une version âgée de plus de 10 ans du moteur d’analyse largement diffusé VSAPI utilisé dans différents produits Trend Micro. Trend Micro n’a jamais entretenu des relations commerciales en ou avec la Corée du Nord, et considère qu’une telle utilisation est entièrement non autorisée. La version VSAPI en question est assez ancienne et a été largement incorporée dans des produits de sécurité tiers via différentes transactions OEM au fil des ans ; les moyens spécifiques par lesquels elle a été obtenue par les créateurs de SiliVaccine sont donc inconnus. Bien que Trend Micro adopte une position ferme contre le piratage de logiciels, nous ne croyons pas que l’utilisation illicite en cause constitue un risque important pour nos clients. »

Les soupçons de Trend Micro portant sur un OEM malhonnête, à l’origine de l’utilisation par SiliVaccine d’une version de son moteur d’analyse VSAPI vieille de 10 ans, sont confirmés par une analyse supplémentaire d’une ancienne version de SiliVaccine effectuée par notre équipe. Cela suggère que ce n’est pas une occurrence unique.


Voir les articles précédents

    

Voir les articles suivants