{"id":17641,"date":"2019-01-11T16:27:53","date_gmt":"2019-01-11T14:27:53","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=17641"},"modified":"2021-05-04T12:07:26","modified_gmt":"2021-05-04T10:07:26","slug":"35c3-dprk-antivirus","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/35c3-dprk-antivirus\/17641\/","title":{"rendered":"Antivirus SiliVaccine: el software contra virus de Corea del Norte"},"content":{"rendered":"

Hace un tiempo, el equipo de investigaci\u00f3n de Check Point recibi\u00f3 un mensaje de un periodista de Boomberg llamado Martyn Williams. En \u00e9l afirmaba haber recibido una copia de un antivirus<\/strong> norcoreano supuestamente por parte de un usuario de Jap\u00f3n. El software<\/em> norcoreano no es muy com\u00fan, por lo que los expertos Mark Lechtik y Michael Kajiloti analizaron la herramienta antivirus<\/strong> y presentaron los resultados de su estudio<\/a>\u00a0en el congreso de hackers<\/em> 35C3<\/a>.<\/p>\n

\"Un<\/p>\n

Pero antes de entrar en los detalles del antivirus norcoreano, conviene repasar brevemente la relaci\u00f3n de Corea del Norte con Internet.<\/p>\n

El papel de Corea del Norte en la evoluci\u00f3n de la red global <\/strong><\/h2>\n

La atribuci\u00f3n (elaborar una reclamaci\u00f3n justificada de que un grupo espec\u00edfico de un pa\u00eds espec\u00edfico intent\u00f3 un ataque espec\u00edfico) es un asunto totalmente impredecible. Interpretar las pruebas es complicado, se puede seguir la pista incorrecta. Sin embargo, en alg\u00fan momento, varios grupos de investigaci\u00f3n atribuyeron conjuntamente algunos ataques <\/strong>online<\/em> a Corea del Norte. Adem\u00e1s, existe una idea generalizada de que Corea del Norte utiliza grupos de ciberdelincuentes<\/em><\/strong> financiados por el estado para beneficio econ\u00f3mico del r\u00e9gimen. Evidentemente, Corea del Norte lo niega.<\/p>\n

Dicho esto, Internet como tal no existe en Corea del Norte: solo unos pocos pueden acceder a la World Wide Web, mientras que el resto de la poblaci\u00f3n tiene que conformarse con la intranet dom\u00e9stica, conocida como Kwangmyong, una red en la que se filtra toda la informaci\u00f3n del \u201cputrefacto occidente\u201d. Por su parte, occidente tampoco puede acceder normalmente a la red de Corea del Norte, por lo que toda informaci\u00f3n sobre este asunto es bien recibida, por poco que sea.<\/p>\n

\"C\u00f3mo

C\u00f3mo acab\u00f3 el antivirus SiliVaccine de Corea del Norte en manos de los investigadores<\/p><\/div>\n

Un antivirus japon\u00e9s-coreano, \u00bfpara qu\u00e9? <\/strong><\/h2>\n

La primera cuesti\u00f3n es de l\u00f3gica: \u00bfPara qu\u00e9 iba a querer Corea del Norte un antivirus si no tiene Internet? En primer lugar, para la protecci\u00f3n<\/strong> contra<\/strong> virus<\/strong> que se mueven por el pa\u00eds en memorias USB con art\u00edculos sobre occidente, series de la televisi\u00f3n surcoreana y dem\u00e1s informaci\u00f3n extraoficial en Corea del Norte. De hecho, las memorias USB de contrabando son muy populares en esta zona. Y, segundo, parece que Corea del Norte ten\u00eda pensado lanzar este antivirus al mercado internacional, o al menos una de las versiones del antivirus<\/strong> que incluye una interfaz en ingl\u00e9s.<\/p>\n

La segunda cuesti\u00f3n es igual de l\u00f3gica: \u00bfD\u00f3nde podr\u00eda conseguir Corea del Norte un software<\/em> antivirus por s\u00ed misma? Un producto tan sofisticado como este es muy complicado de crear desde cero, sobre todo con recursos limitados. Los expertos de Check Point se hicieron tambi\u00e9n esta pregunta y sacaron una conclusi\u00f3n muy interesante: la versi\u00f3n del 2013 del antivirus coreano (la que ten\u00edan a mano) utilizaba el motor de una famosa soluci\u00f3n antivirus<\/strong>, Trend Micro, pero el de la versi\u00f3n del 2008.<\/p>\n

Era evidente que los desarrolladores coreanos no quer\u00edan que nadie interfiriera en el c\u00f3digo del producto, por ello, muchos de sus componentes estaban protegidos con Themida, un programa wrapper<\/em> dise\u00f1ado para bloquear la ingenier\u00eda inversa. Aunque, aquellos que compusieron los componentes de SiliVaccine se negaron a utilizar gran parte del paquete de Themida, por lo que el equipo de Check Point pudo acceder al c\u00f3digo del programa.<\/p>\n

Aproximadamente un cuarto del c\u00f3digo de SiliVaccine coincide con los elementos del c\u00f3digo antivirus<\/strong> de Trend Micro, pero se modificaron ligeramente ciertas funciones. Antes esto, el equipo de investigaci\u00f3n le plante\u00f3 a Trend Micro la siguiente cuesti\u00f3n: \u00bfDe d\u00f3nde habr\u00eda sacado Corea del Norte el c\u00f3digo fuente de un producto antivirus fabricado en Jap\u00f3n? Trend Micro neg\u00f3 cualquier tipo de relaci\u00f3n y coment\u00f3 la posibilidad de que el pa\u00eds se hubiese hecho con este motor de forma ilegal. Tambi\u00e9n mencion\u00f3 que sus socios, que estaban vendiendo soluciones de protecci\u00f3n online<\/strong> bajo marcas propias, podr\u00edan haber utilizado el motor. Esto podr\u00eda explicar c\u00f3mo el c\u00f3digo fuente acab\u00f3 en manos de los programadores norcoreanos.<\/p>\n

\"Respuesta

Respuesta oficial de Trend Micro al estudio<\/p><\/div>\n

Evidentemente, los norcoreanos intentaron ocultar que el motor de SiliVaccine estaba basado en el de Trend Micro, por lo que intentaron a\u00f1adir complementos adicionales a este antivirus. De esta forma, a simple vista parec\u00eda que ambos antivirus utilizaban diferentes procesos para las firmas<\/a> de virus: Trend Micro utiliza una \u00fanica firma y SiliVaccine, 20. No obstante, cuando se enciende el motor, todos estos archivos se agrupan en uno. En cuanto a las firmas, se parecen sospechosamente a las utilizadas por Trend Micro. Por ejemplo, si Trend Micro utiliza una firma TROJ_STEAL-1 para cierto malware<\/em><\/strong>, SiliVaccine pondr\u00e1 Trj.Steal.B. Cambian de may\u00fascula a min\u00fascula, remplazan los guiones y guiones bajos por puntos y a\u00f1aden otro par de cambios m\u00ednimos.<\/p>\n

Durante la investigaci\u00f3n del antivirus norcoreano, el equipo report\u00f3 muchos errores y curiosidades. Por ejemplo, el programa incluye un componente para, supuestamente, escanear un archivo en busca de virus<\/strong>; el usuario tiene que hacer clic en el bot\u00f3n derecho sobre \u00e9l en el Explorador de archivos y seleccionar la opci\u00f3n apropiada del men\u00fa. S\u00ed, la opci\u00f3n aparece, pero cuando haces clic no te lleva a ning\u00fan lado.<\/p>\n

Otra curiosidad: el antivirus viene con un driver<\/em> que recopila informaci\u00f3n sobre las conexiones red, pero no hace nada con ella. En teor\u00eda, otros archivos deber\u00edan poder acceder al driver<\/em>, pero el resto de los archivos de SiliVaccine no lo utilizan nunca.<\/p>\n

Para cifrar componentes se utiliz\u00f3 BopCrypt, una herramienta de empaquetado popular hace unos 15 a\u00f1os en la comunidad cibern\u00e9tica de habla rusa, y algunos de ellos parec\u00edan c\u00f3digo basura. Parec\u00eda que la funci\u00f3n principal de algunos de los archivos era perder el tiempo sin hacer nada. Adem\u00e1s, los investigadores llegaron a la conclusi\u00f3n de que los autores de al menos algunos componentes del antivirus SiliVaccine<\/strong> hab\u00edan intentado probar suerte con la ingenier\u00eda inversa, pero no consiguieron dar con el funcionamiento del c\u00f3digo.<\/p>\n

Tiene pinta de que a los desarrolladores del c\u00f3digo no se les daba muy bien el trabajo en equipo. Por ejemplo, se supone que un archivo tiene que desencadenar una funci\u00f3n de otro con un par\u00e1metro que est\u00e9 establecido a cierto valor, mientras que, por otro lado, el segundo archivo est\u00e1 espec\u00edficamente preparado para no reaccionar si aparece ese valor.<\/p>\n

En resumen, el SiliVaccine norcoreano result\u00f3 ser una versi\u00f3n reformulada y defectuosa del antivirus Trend Micro.<\/p>\n

\u00bfPodr\u00eda ser un malware<\/em>?<\/h2>\n

Aquellos que conozcan la pol\u00edtica externa de Internet de Corea del Norte puede que se pregunten: \u00bfY si es un troyano<\/strong>? \u00bfY si el motivo del producto es implantar malware<\/em> o algo similar? Y Check Point tambi\u00e9n tiene una respuesta.<\/p>\n

Al analizar esta cuesti\u00f3n, descubrieron algo muy interesante. En primer lugar, el antivirus SiliVaccine parece ser limpio, no encontraron contenido con malware<\/em>. No obstante, los archivos EXE mencionan una firma que el motor ignora, por tanto, si un archivo escaneado est\u00e1 infectado con\u00a0malware<\/em><\/strong> de esta firma, SiliVaccine simplemente lo ignorar\u00e1.<\/p>\n

\"SiliVaccine

SiliVaccine ignora los archivos malware con una firma espec\u00edfica<\/p><\/div>\n

Los investigadores sent\u00edan curiosidad por el malware<\/em>, por lo que intentaron comparar esta firma de la base del virus de SiliVaccine con la correspondiente a la base de Trend Micro. Pero result\u00f3 ser una firma heur\u00edstica, una para todos los archivos que demuestran un comportamiento espec\u00edfico, por lo que fueron incapaces de descubrir exactamente cu\u00e1l era el archivo malware<\/em><\/strong> que deb\u00eda ignorar el antivirus norcoreano seg\u00fan su programaci\u00f3n. Al parecer, los desarrolladores de SiliVaccine hab\u00edan cometido una errata en cierto momento y hab\u00edan a\u00f1adido a la lista de admitidos una firma no v\u00e1lida.<\/p>\n

Aunque el instalador de SiliVaccine no era malicioso por s\u00ed mismo, el archivo que recibi\u00f3 el periodista de Bloomberg de, supuestamente, un ingeniero an\u00f3nimo de Jap\u00f3n tambi\u00e9n conten\u00eda otro archivo. Su nombre daba a pensar que se trataba de un parche para SiliVaccine, pero sus metadatos mostraban que estaba relacionado con las actualizaciones autom\u00e1ticas de Microsoft.<\/p>\n

\"El

El archivo que recibi\u00f3 el periodista de Bloomberg tambi\u00e9n conten\u00eda malware conectado a la APT DarkHotel<\/p><\/div>\n

Los investigadores de Check Point analizaron este archivo y descubrieron que se trataba de un malware<\/em> llamado Jaku, descrito por primera vez por Forcepoint en el 2016. Seg\u00fan las aclaraciones de Forcepoint en este estudio<\/a>, Jaku se utiliz\u00f3 contra personas vinculadas, de una forma u otra, a Corea del Norte y estaba conectado con DarkHotel<\/a>, un grupo de habla coreana cuyas actividades se recogen en un estudio que publicamos en el 2014<\/a>.<\/p>\n

Martyn Williams, el periodista de Bloomberg que recibi\u00f3 el correo con SiliVaccine, escribe mucho sobre Corea del Norte, por lo que los investigadores dieron por hecho que se trataba de un ataque online dirigido contra \u00e9l, ya que los l\u00edderes norcoreanos no valoraban mucho su trabajo. En cuanto a SiliVaccine, parece que se trata de un software antivirus<\/strong> real, seguramente muy utilizado en Corea del Norte, pues carecen de opciones mejores.<\/p>\n