Sogar Nordkorea hat ein Antivirenprogramm – es wird aber für die Spionage genutzt

Malware- und Antivirensoftware gehören für gewöhnlich zusammen wie Tacos und Essiggurken. Überlassen Sie es Nordkorea diese wie Erdnussbutter und Gelee zu kombinieren.

Forscher kündigten am 1. May an, dass als Sie die Bestandteile der nordkoreanischen Antivirensoftware für Windows Computer untersuchten, sie eine Mischung aus Spyware und alten Codes, welche von einem Antivirenanbieter gestohlen wurden fanden.

Der Prozess der zu dieser Entdeckung führte und am Dienstag öffentlich aufgedeckt wurde, begann im Juli 2014, als eine pseudonyme Quelle SiliVaccine 4.0 an den Journalisten Martyn Williams gesendet worden ist, der auf die Berichterstattung über nordkoreanische Technologie spezialisiert ist. Und er endete vor einigen wenigen Monaten, nachdem Sicherheitsforscher bei Check Point Software, Hersteller von ZoneAlarm Antivirus Software, eine Bloomberg Businessweek Story über nordkoreanische Hacker lasen, die mit Williams Recherchen verknüpft waren, und Williams darum baten die SiliVaccine Datei freizugeben.

Die Forscher waren nicht überrascht, erzählten sie The Parallax, dass SiliVaccine voll mit gestohlenen Codes war – in diesem Fall von einer 10 Jahre alten Version von Trend Micros Antivirus Software. Williams und andere haben Nordkoreas Neigung für die Umnutzung von Codes, bösartige und anderweitige, ohne Erlaubnis dokumentiert.

„Die Nutzung von [Trend Micro] Antivirus hat keine bestimmte umfassende Bedeutung. So ziemlich jede Software kann ins Visier genommen werden um abgezockt zu werden,“ sagt Mark Lechtik, ein Sicherheitsforscher aus dem Check Point Malware Forscherteam, der die Ermittlung zu SiliVaccine führte.

Die Feststellung, dass SiliVaccine mit der Jaku Malware verflochten war, welche es Nordkorea ermöglichen würde die Internetaktivitäten der Nutzer auszuspionieren, welche die Software angeblich schützen würden, war genug um ihre Augenbrauen hochzuziehen. Sie entdeckten ebenfalls, dass es dafür programmiert worden war um eine Malware Programmierungseigenschaft zu ignorieren, welche sogar die Jahrzehnte alten Trend Micro Codes als bösartig gekennzeichnet hätten.

Was auch immer die Malware tut, „das nordkoreanische Regime möchte nicht seine Nutzer darauf aufmerksam machen,“ schrieb Lechtik in seinem Bericht.

Jaku ist eine bekannte Spyware-Botnet Kombination, die über BitTorrent verteilt ist. Es hat geschätzte 19.000 Personen schikaniert, einschließlich Journalisten und Angestellten von Regierungsämtern, akademischen Institutionen, wissenschaftlichen Organisationen, Ingenieursunternehmen und Nichtregierungsorganisationen.

Die Thawte Zertifizierungsstelle gab ein Zertifikat heraus, welches in der Jaku Software unter „Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd gefunden wurde,“ dem identischen Namen, der dafür genutzt worden war um Dateien durch eine Gruppe, welche fortgeschrittene anhaltende Bedrohungen „DarkHotel“ genannt durchführt zu unterzeichnen, was nordkoreanischen Gefahrenakteuren zugeschrieben worden war.

Wie viele andere Länder, verlässt sich Nordkorea auf seine online Fähigkeiten, um einige seiner Ziele voranzubringen. Das Regime in Pyongyang hat eine Gruppe von ungefähr 6.000 oder mehr fortschrittlichen Regierungs-Hackern entwickelt, von denen, deren Experten bekanntermaßen aggressive Vorgänge zugeschrieben bekommen haben, wie etwa dem WannaCry Angriff von 2017, dem 81 Millionen Dollar Raub der bangladeschischen Banken in 2016 und dem Sony Pictures Bruch in 2014.

Es lohnt sich zu bemerken, sagt Lechtik von Check Point weiter, dass es eine „Unstimmigkeit“ gibt, zwischen wie Nordkorea sich selbst darstellt und wie es sich auf der Weltbühne verhält.

Während nordkoreanische Beamten „in der Domain der IT“ projizieren, dass sie „versuchen mit dem Westen zu kooperieren und Hand in Hand zusammenzuarbeiten,“ sagt Lechtik, „Sie tuen gleichzeitig diese zwielichtigen Vorgänge und bauen ihre Produkte auf zwielichtigen Praktiken auf.“

Und weil seine Benutzeroberfläche auf Koreanisch ist, gibt es kaum Zweifel daran, sagt Michael Kajiloti, Teamleiter von Check Points Malware Forscherteam, dass „SiliVaccine an nordkoreanische Bürger gerichtet ist.“

Ob nordkoreanische Programmierer die Software dafür entworfen haben, um nordkoreanische Bürger, die innerhalb der Landesgrenzen leben, die geschätzten 50.000 bis 100.000 Nordkoreaner, die außerhalb dieser Grenzen leben – oder beide- bleibt allerdings unklar.

Nordkorea beschränkt den Zugang, physisch und digital, zur außenstehenden Welt erheblich. Sie haben keinen globalen Internetzugriff, sondern eher ein sorgfältig kuratiertes Intranet, sagt Lechtik. Warum sollte Kim Jong Un ihre Internetaktivitäten ausspionieren wollen (oder müssen)? Und hätte er Gründe um sie über Antivirensoftware vor Hacker von außen oder online Ausnutzungen zu schützen?

Wie SiliVaccine funktioniert. Image-Gefälligkeit Check Point

Es gibt ein Phänomen des Schmuggelns von Media-Inhalten in Nordkorea,“ sagt Lechtik. Nordkoreanische Bürger „bekommen USB-Sticks oder CDs mit verschiedenen Arten von Medien,“ sagt er, „solche wie südkoreanische Seifenopern und TV-Sendungen.“ Und Pyongyang könnte befürchten, dass geschmuggelte ausländische Medien „ein Angriffsvektor auf ihr Netzwerk sein könnte.“

Die Entlarvung des Ursprungs von SiliVaccine unterstreicht die Probleme mit der Kontrolle der Computer-Code Lieferkette, sagt Leo Taddeo, Chief Information Security Officer bei Cybersicherheitsunternehmen Cyxtera.

Gefährdungsakteure nutzen allgemein Malware um Informationen zu sammeln und die verschiedenen sozial ingenieurwissenschaftlichen Techniken um die Malware einzuschleusen sind geläufig,“ sagt Taddeo, der einst Spezialoperationen in der Cyber-Abteilung des FBIs in New York leitete. „Wir sollten nicht davon überrascht sein, dass dies ein weiteres Cyberangriffsinstrument ist, dass so getarnt ist, als hätte es einen wohltätigen Zweck.“

Kim Jong Uns Regime nutzt SiliVaccine wahrscheinlich um nordkoreanische Auswanderer auszuspionieren, zusätzlich der Bürger, die im Land leben, sagt Nordkorea Experte Bruce Bennet.

„Seine Leute auszuspionieren liegt in der Natur von Nordkorea,“ sagt Bennet, der Senior International- und Abwehrforscher für RAND Corp. Er bemerkte, dass das Leben in Nordkorea so eingeschränkt ist, dass es ein kriminelles Vergehen ist, an südkoreanischer Musik und Kunst teilzunehmen, etwas was Kim Jung Un mit Strafflosigkeit im April tat, somit ist es für seine Verhältnisse nicht überraschend, dass Pyongyang eine Spyware herstellen würde, die als Antivirenprogramm getarnt ist.

Ein „normaler nordkoreanischer Bürger“ der in Südkorea lebt oder Südkorea besucht, würde eine mindestens einjährige Gefängnisstrafe für die Teilnahme an vergleichbaren Konzerten bevorstehen, sagt Bennett – geschweige denn für den Schmuggel von Aufzeichnungen in Nordkorea. Einfach ausgedrückt, „Kim Jung Un möchte keine Informationen von außen in Nordkorea haben.“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.