SiliVaccine utilizza codice proveniente da aziende concorrenti

SiliVaccine è un software antivirus sviluppato in Corea del Nord, che ha fatto tanto parlare di sè per una scoperta effettuata dal team di ricerca di Check Point.

Abbiamo già parlato dell’azienda di sicurezza Check Point, che giorni fa ha scoperto l’esistenza di kit di phishing fai da te. Oggi è tornata nuovamente agli oneri della stampa digitale, comunicando sul web un’ulteriore scoperta, che riguarda l’antivirus nordcoreano SiliVaccine.

Codice sorgente copiato

Tutto è iniziato da un’email sospetta che il giornalista Martyn Williams ha ricevuto da un certo Kank Yong Hak. In questa email è stata allegata una rara copia del software SiliVaccine, con tanto di patch. A questo punto il giornalista ha inoltrato la versione di SiliVaccine hai ricercatori di Check Point, che hanno prontamente analizzato i file del programma (engine file) attraverso degli strumenti forensi.

Ciò che ne è risultato è che il codice sorgente principale, ossia quello che si occupa della scansione e del rilevamento di possibili malware, è praticamente identico a quello di un software di cybersicurezza sviluppato dall’azienda giapponese Trend Micro. Stranamente, però, SiliVaccine non è in grado di bloccare una particolare firma di malware, di cui però non si sa nulla riguardo la sua identità.

Per quanto riguarda l’aggiornamento, invece, i ricercatori hanno rilevato l’esistenza di un malware denominato JAKU. Si tratta di una potente botnet che opera specialmente con file torrent infetti e che ha già colpito 19.000 dispositivi. Fortunatamente il file di aggiornamento è separato dal resto del programma, per cui si potrebbe decidere benissimo di eliminarlo direttamente.

Giappone vs. Nord Corea

Il nesso tra queste due nazioni è presto detto. Il rapporto politico ed economico tra i due Stati non è certamente dei migliori. Ciò potrebbe concludere che il fantomatico Kank Yong Hak possa essere un ingegnere giapponese che ha voluto, in qualche modo, fare chiarezza su questa situazione. Però si tratta solamente di supposizioni e non si hanno prove di questo.

La parola agli esperti

Fortunatamente Check Point ha avvertito tempestivamente Trend Micro, la cui risposta non è tardata ad arrivare:

“Trend Micro is aware of the research by Check Point on the “SiliVaccine” North Korean anti-virus product, and Check Point has provided us with a copy of the software for verification. While we are unable to confirm the source or authenticity of that copy, it apparently incorporates a module based on a 10+ year-old version of the widely distributed Trend Micro scan engine used by a variety of our products. Trend Micro has never done business in or with North Korea. We are confident that any such usage of the module is entirely unlicensed and illegal, and we have seen no evidence that source code was involved. The scan engine version at issue is quite old and has been widely incorporated in commercial products from Trend Micro and third party security products through various OEM deals over the years, so the specific means by which it may have been obtained by the creators of SiliVaccine is unknown. Trend Micro takes a strong stance against software piracy, however legal recourse in this case would not be productive. We do not believe that the infringing use at issue poses any material risk to our customers.”

Che tradotto significa:

“Trend Micro è consapevole della ricerca di Check Point sull’antivirus nordcoreano “SiliVaccine”, e Check Point ci ha fornito una copia del software per la verifica. Mentre non siamo in grado di confermare la fonte o l’autenticità di quella copia, essa apparentemente incorpora un modulo basato su una versione vecchia di più di 10 anni di un engine distribuito da Trend Micro usato da una varietà di nostri prodotti. Trend Micro non ha mai effettuato business in o con la Nord Corea. Siamo fiduciosi che ogni uso del modulo è interamente illegale e provi di licenza, e non abbiamo prove che il codice sorgente sia stato coinvolto. La versione in questione dell’engine di scansione è datata ed è stata ampiamente introdotta in prodotto commerciali da Trend Micro e prodotti per la sicurezza di terze parti attraverso vari accordi OEM nel corso degli anni, quindi i motivi specifici per cui è stata ottenuta dai creatori di SiliVaccine sono sconosciuti. Trend Micro ha una forte presa di posizione contro software pirata, tuttavia il ricorso legale, in questo caso, potrebbe non essere produttivo. Non crediamo che l’uso illecito in questione ponga un rischio materiale ai nostri acquirenti.”

Voi cosa ne pensate di questa vicenda?