SiliVaccine: O antivírus da Coreia do Norte

Especialistas fazem descobertas interessantes ao examinarem o código do antivírus norte-coreano SiliVaccine.

Certa vez, a equipe de pesquisadores do Check Point recebeu uma mensagem de um jornalista da Bloomberg, chamado Martyn Williams, sobre uma cópia de um antivírus norte-coreano enviado supostamente do Japão. Como os softwares norte-coreanos não são encontrados com facilidade, a oportunidade de entrar em contato com a ferramenta antivírus logo causou comoção nos especialistas Mark Lechtik e Michael Kaji-loti, que apresentaram os resultados desse estudo no congresso de hackers da 35C3.

Especialistas fazem descobertas interessantes ao examinarem o código do antivírus norte-coreano SiliVaccine

Antes de discutirmos o antivírus norte-coreano, precisamos falar brevemente sobre a relação entre a Coreia do Norte e a Internet.

O papel da Coreia do Norte no desenvolvimento da rede global

Atribuição – elaborar uma alegação justificando que um grupo específico, de um determinado país, realizou uma tentativa de um certo ataque – trata-se de algo completamente impreciso. Às vezes, seguir o caminho errado é mais fácil que interpretar evidências e assim por diante. No entanto, em algum momento, inúmeros grupos de pesquisa atribuíram, de forma conjunta, ataques à Coreia do Norte. Especula-se também que esse país utiliza grupos de hackers com o apoio do Estado, os quais em contrapartida arrecadam dinheiro em prol do regime político. É claro que os oficiais da República Popular Democrática da Coreia (RPDC) negam essas informações.

Como o antivírus norte-coreano SiliVaccine foi parar nas mãos dos pesquisadores

Como o antivírus norte-coreano SiliVaccine foi parar nas mãos dos pesquisadores

Dito isso, é importante ressaltar que o acesso à Internet é praticamente inexistente na Coreia do Norte. A Rede pode ser acessada apenas por alguns poucos escolhidos, enquanto a maior parte da população está restrita à intranet doméstica, chamada Kwangmyong: uma rede livre das impurezas das informações do “Ocidente decadente”.

O antivírus coreano-japonês

A pergunta a se fazer é: por que a Coreia do Norte, que não possui acesso à Internet, quer um antivírus? O primeiro motivo seria para proteger o país contra vírus contrabandeados em cartões de memória, que podem conter artigos ocidentais, como séries de TV sul-coreanas e outras informações não disponíveis oficialmente no país.

Surpreendentemente, o contrabando de cartões de memória é muito difundido nessa região. O segundo motivo, menos óbvio, sugere que a Coreia do Norte pretende comercializar o antivírus internacionalmente – já que pelo menos uma das versões inclui uma interface em inglês.

A segunda pergunta, não menos lógica, é: como a RPDC conseguiria desenvolver um software antivírus próprio? Um produto com esse grau de sofisticação é bastante difícil de criar a partir do zero, especialmente com recursos limitados. Ao abordar essa questão, os especialistas do Check Point chegaram a uma conclusão interessante: a versão de 2013 do antivírus coreano (que foi analisada) utilizava um mecanismo popular de solução antivírus da Trend Micro, desenvolvido em 2008.

Os desenvolvedores coreanos não estavam dispostos a deixar ninguém interferir no código do produto e muitos de seus componentes, por isso, foram protegidos por meio do Themida – um programa wrapper projetado para impedir engenharia reversa. No entanto, os responsáveis pela vedação de componentes do SiliVaccine negligenciaram o uso de grande parte do impressionante kit de ferramentas do Themida e, em consequência disso, a equipe do Check Point conseguiu acessar o código do programa.

Cerca de um quarto do código SiliVaccine corresponde totalmente aos elementos do código antivírus da Trend Micro, com algumas funções ligeiramente modificadas. Sendo assim, a equipe de pesquisa questionou a empresa sobre como a Coreia do Norte obteve acesso ao código fonte de um produto antivírus desenvolvido no Japão. A Trend Micro alegou não saber como a Coreia do Norte adquiriu o programa, mas disse acreditar que foi de forma ilegal. Também mencionaram que poderia ter sido usado por parceiros de negócios, os quais estariam comercializando soluções de proteção por meio de marcas próprias. Isso nos dá pelo menos uma pista de como o código-fonte poderia ter caído nas mãos dos programadores norte-coreanos.

Resposta oficial da Trend Micro sugere que os norte-coreanos pegaram suas ferramentas de antivírus emprestadas

Resposta oficial da Trend Micro sugere que os norte-coreanos pegaram suas ferramentas de antivírus emprestadas

Os norte-coreanos estavam claramente tentando esconder o fato de que o SiliVaccine era baseado no programa da Trend Micro, por isso adicionaram alguns adereços e recursos adicionais supérfluos. Assim, à primeira vista, parecia que esses dois antivírus utilizavam processos totalmente diferentes para assinaturas de vírus: a Trend Micro utilizava apenas um arquivo de assinatura, enquanto a SiliVaccine fazia uso de 20. Porém, assim que o programa era inicializado todos esses arquivos se fundiam em um. Quanto às próprias assinaturas, elas suspeitosamente se assemelham àquelas usadas pela Trend Micro: por exemplo, se a Trend usava uma assinatura TROJ_STEAL-1 para certos malware, a SiliVaccine usava Trj.Steal.B. Eles apenas alteravam letras, substituíam traços e sublinhados por pontos finais, adicionando pequenas alterações.

Ao longo da investigação sobre o antivírus norte-coreano, a equipe de pesquisa relatou muitos erros e esquisitices. Como por exemplo, um programa que apresenta um componente supostamente destinado a rastrear um arquivo de vírus em que o usuário deve clicar no File Explorer com o botão direito do mouse e depois selecionar a opção apropriada do menu. Acontece que o menu até possui essa opção, mas clicar nele não leva a lugar algum.

Mais uma curiosidade: o antivírus vem com um driver que coleta informações sobre conexões de rede e… não faz nada com esses dados. Em teoria, o driver deveria ser acessado por alguns outros arquivos, mas nenhum outro arquivo SiliVaccine jamais o utilizou.

Alguns componentes foram criptografados com o BopCrypt – ferramenta de vedação popular utilizada pela comunidade da Internet de língua russa há cerca de 15 anos. Na maioria, os componentes consistem de códigos de lixo eletrônico. A impressão era de que a principal função de alguns arquivos era apenas estimular a perda de tempo… fazendo nada. Além disso, os pesquisadores desenvolveram uma hipótese de que os autores de pelo menos alguns componentes do SiliVaccine haviam tentado aplicar engenharia reversa, mas falharam ao não descobrirem exatamente como o código funcionava.

Além disso, ficou evidente que as pessoas que desenvolviam diferentes partes do código não eram muito boas em trabalhar em equipe. Por exemplo, um arquivo deve acionar uma função de outro, com um parâmetro que é definido para um determinado valor, enquanto o segundo arquivo é especificamente programado para não fazer nada caso esse valor seja ativado.

Considerações à parte, o SiliVaccine norte-coreano acabou por se tornar uma versão retorcida e com muitos bugs do antivírus da Trend Micro.

Pode ser considerado malware?

Qualquer pessoa que esteja familiarizada com a política externa de Internet da RPDC deve perguntar-se: E se for realmente um cavalo de Tróia? E se este produto foi feito para implantar malware ou algo do tipo? O Check Point tem uma resposta para isso também.

Novamente, suas descobertas foram muito interessantes. O antivírus SiliVaccine parece estar limpo. Nenhum vestígio de malware foi encontrado. No entanto, os arquivos EXE mencionam uma assinatura que o mecanismo deve ignorar. Se um arquivo digitalizado for infectado por um malware dessa assinatura, o SiliVaccine simplesmente o deixará viver.

SiliVaccine ignora arquivos de malware com assinatura específica

SiliVaccine ignora arquivos de malware com assinatura específica

 

Certamente, os pesquisadores estavam curiosos para saber exatamente qual parte do malware era aquela, por isso, tentaram realizar uma verificação cruzada da assinatura da base do vírus SiliVaccine com a assinatura correspondente da base da Trend Micro. Mas acabou por se tornar uma assinatura heurística, dada a todos os arquivos que demonstram um comportamento específico. Com isso, não foi possível descobrir exatamente qual arquivo de malware o antivírus norte-coreano estava programado para ignorar. Porém, os especialistas descobriram que os desenvolvedores do SiliVaccine tinham, em determinado momento, feito um erro de impressão e colocado na lista de permissões uma assinatura inválida.

Embora o instalador do SiliVaccine não fosse malicioso, o e-mail recebido pelo jornalista da Bloomberg, enviado por um desconhecido que estava supostamente no Japão, também continha outro arquivo. Seu nome sugeria que tratava-se de uma atualização para SiliVaccine, enquanto seus metadados afirmavam que estava relacionado às atualizações automáticas da Microsoft.

O arquivo recebido pelo jornalista da Bloomberg também continha malware conectado ao DarkHotel APT

O arquivo recebido pelo jornalista da Bloomberg também continha malware conectado ao DarkHotel APT

 

Os pesquisadores do Check Point analisaram esse arquivo para descobrir que tratava-se de um malware chamado Jaku, descrito pela primeira vez pela Forcepoint em 2016. De acordo com as explicações fornecidas pela Forcepoint em seu estudo, o Jaku foi usado contra indivíduos ligados, de uma forma ou de outra, à Coreia do Norte, além disso estava claramente ligado ao DarkHotel – um grupo de língua coreana cujas atividades foram abordadas em um estudo que publicamos em 2014.

Martyn Williams – o jornalista da Bloomberg que recebeu a carta contendo SiliVaccine – escreve frequentemente sobre a Coreia do Norte, logo os pesquisadores presumiram que todo o esquema envolvendo o e-mail com o antivírus em um anexo, poderia ter sido um ataque direcionado contra ele; seu trabalho dificilmente é apreciado pelos líderes da RPDC. Quanto ao SiliVaccine, parece ser um produto antivírus real, provavelmente usado na Coreia do Norte – por falta de melhores opções.

Dicas