"Silivaccine" nutzt unerlaubt veralteten Code einer japanischen Sicherheitsfirma und lässt Malware bewusst unentdeckt

Nordkoreas IT-Welt kann für Außenseiter skurril wirken. So ist ein iPhone-Klon das offizielle Smartphone, wobei der Großteil der Bevölkerung Analysen zufolge nur einen modifizierten 3G-Zugang zum Verfassen von Text- und Videonachrichten hat. Verwaltet wird das durch den nordkoreanischen Provider Koryolink. Das staatliche Intranet, zu dem nur wenige Bevölkerungsgruppen, etwa Studierende, Zugriff haben, bietet eine eher bescheidene Auswahl an Websites.

Alte, gestohlene Komponenten

Aber auch wenn es um Antivirussoftware geht, scheint die Regierung einen kuriosen Weg zu gehen. Wie "Gizmodo" berichtet, konnte sich der freie Journalist Martyn Williams einen Einblick verschaffen. Das nordkoreanische Antivirusprogramm "Silivaccine" soll jahrzehntealte Komponenten einer japanischen Sicherheitsfirma gestohlen haben. Außerdem sollen bewusst bestimmte bekannte Malware-Signaturen ignoriert werden.

Kein Zugriff außerhalb Nordkoreas

Williams hatte die Software vor mehreren Jahren zugesendet bekommen und daraufhin analysiert. Im September 2014 soll sie sich in ihrer vierten Version befunden haben. Die IP-Adresse, die von der Software genutzt wird, soll nur über lokale Netzwerke, nicht aber über das globale Internet erreichbar sein. Somit ist es nur über das staatliche nordkoreanische Intranet möglich, darauf zuzugreifen.

Code gehört japanischem Sicherheitsunternehmen

Das Softwareunternehmen Check Point aus Tel Aviv hat Silivaccine zuletzt genauer analysiert und festgestellt, dass Teile des Quellcodes des Scannermoduls Trend Micro, einer japanischen Sicherheitsfirma, gehören. Diese bestätigt auch, dass er vor über einem Jahrzehnt von Entwicklern des Unternehmens erstellt wurde. Jegliche Nutzung sei in diesem Fall illegal und ohne Lizenz erfolgt. Es gebe keine Anzeichen, dass weiterer Quellcode verwendet wurde. Außerdem würden Malware-Signaturen, die normalerweise vom ursprünglichen Erkennungsmodul identifiziert werden, bewusst ignoriert – die nordkoreanische Regierung habe also die Absicht, solche Viren vor Nutzern zu verstecken.

Rätselraten

Wie der Code an Nordkorea gelangt ist, sei schwierig zu identifizieren. Check Point nimmt an, dass eines der Unternehmen, die Silivaccine entwickelt haben, über zwei japanische Unternehmen, die zuvor mit einem nordkoreanischen Forschungsinstitut zusammengearbeitet hatten, zu dem Programm gekommen ist. Jedenfalls möchte Trend Micro rechtlich nichts gegen die nordkoreanische Regierung unternehmen, mit der Begründung, dass es keinen wirklichen Sinn hat.

Auch Journalist betroffen

Die Software des Journalisten Williams soll möglicherweise mit einer Malware infiziert gewesen sein, die genutzt wird, um Botnets zu erstellen und bestimmte Personen auszuspionieren. Eines der primären Ziele sind etwa Hotelgäste, die das bereitgestellte WLAN nutzen. Angenommen wird, dass man mit Keyloggern und anderer Malware auf das Unternehmensnetzwerk zugreifen möchte. Der Virus sei nicht spezifisch in Silivaccine, sondern in der Zip-Datei, die Williams bekommen hat, inkludiert gewesen sein, so Check Point. (red, 3.5.2018)