Nordkoreanische Software basiert auf Trend Micro Code
Nordkorea soll eine eigene Antivirensoftware verwenden, die auf einem zehn Jahre alten Produkt der Sicherheitsfirma Trend Micro basiert, wie golem.de dazu informierte. So heißt es seitens Check Point, das Programm mit dem Namen SiliVaccine nutzt:
"große Codefragmente einer mehr als zehn Jahre alten Antivirus-Engine der Firma Trend Micro".
Check Point geht dabei davon aus, dass die Entwickler entweder Zugriff auf den Quellcode von Trend Micro oder auf Bibliotheken gehabt haben. Der Code wurde neu kompiliert, dabei sollen Optimierungen zum Einsatz gekommen sein, die Trend Micro selbst nicht genutzt hat. Die Signaturdateien haben ein ähnliches Format wie bei der Originalsoftware, sie werden mit einer veränderten Version des SHA-1-Algorithmus gehasht.
Kopie mit Malware ausgestattet
Wie weiter dazu von Trend Micro verlautete soll es sich tatsächlich um eine illegal kopierte Version der Software handelt. Der entscheidende Unterschied zum Original soll aber eine Virensignatur, die die Trend-Micro-Engine erkennt und hier explizit auf die Whitelist geschrieben worden sein. Dabei handelt es sich um eine Malware mit dem Namen "MAL_NUCRP-5".
Daneben ist laut Check Point in der Installationsdatei auch noch eine Malware namens Jaku enthalten. Diese wird genutzt, um ein Botnetz aufzuspannen, das aus weltweit etwa 19.000 infizierten Rechnern besteht. Die Malware ist mit einem Zertifikat signiert, das auf die "Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd" ausgestellt wurde. Diese Firma tauchte bereits im Zusammenhang mit der APT-Gruppe Dark Hotel auf.
Wie es weiter dazu heißt, hatte Trend Micro keinerlei geschäftliche Beziehungen nach Nordkorea. Obwohl offensichtlich eine unlizensierte Version der eigenen Engine verwendet werde will das Unternehmen keine rechtlichen Schritte einleiten.
Weiterführende Links:
research.checkpoint.com: SiliVaccine: Inside North Korea’s Anti-Virus
golem.de: Nordkorea nutzt geklauten Virenscanner mit Malware
