OpenCarrot Backdoor

قراصنة ترعاهم الدولة يُعتقد أنهم مرتبطون بكوريا الشمالية قاموا بخرق البنية التحتية لتكنولوجيا المعلومات الداخلية الحساسة ، مع أمثلة بارزة بما في ذلك اختراق خادم بريد إلكتروني ونشر باب خلفي لـ Windows يُعرف باسم OpenCarrot. استهدف المهاجمون السيبرانيون على وجه التحديد شركة NPO Mashinostroyeniya ، وهي شركة هندسة صواريخ روسية بارزة.

يُعزى الاختراق المتعلق بخادم البريد الإلكتروني لنظام Linux إلى مجموعة القرصنة ScarCruft . ومع ذلك ، فإن الباب الخلفي لنظام التشغيل Windows ، OpenCarrot ، قد ارتبط سابقًا بمجموعة Lazarus Group ، حيث اكتشف خبراء الأمن السيبراني الهجمات الأولى التي تستخدمه في منتصف مايو 2022.

يقع NPO Mashinostroyeniya في Reutov ، وهو مكتب لتصميم الصواريخ واجه عقوبات من وزارة الخزانة الأمريكية منذ يوليو 2014. وفُرضت العقوبات بسبب ارتباط المكتب بـ "محاولات روسيا المستمرة لزعزعة استقرار شرق أوكرانيا واحتلالها المستمر لشبه جزيرة القرم".

يمتلك OpenCarrot Backdoor مجموعة واسعة من وظائف التهديد

تم تصميم OpenCarrot كمكتبة ارتباط ديناميكي لـ Windows (DLL) وتقدم دعمًا لأكثر من 25 أمرًا مميزًا. تسهل هذه الأوامر أنشطة مثل الاستطلاع والتلاعب بأنظمة وعمليات الملفات وإدارة طرق الاتصال المختلفة. النطاق الواسع من الوظائف الموجودة في OpenCarrot تكفي للمهاجمين لفرض سيطرة كاملة على ماكينات التسوية. في الوقت نفسه ، يتم تمكين الجهات الفاعلة في التهديد من تنفيذ عدوى متعددة عبر الشبكة المحلية للضحية.

في حين أن النهج المحدد المتبع لخرق خادم البريد الإلكتروني وتسلسل الهجوم المستخدم لنشر OpenCarrot لا يزال غير معلوم ، فمن المسلم به أن ScarCruft يستخدم بشكل متكرر أساليب الهندسة الاجتماعية في مخططات التصيد الاحتيالي لخداع الضحايا وتقديم أبواب خلفية مثل RokRat .

علاوة على ذلك ، كشف تحليل شامل للبنية التحتية للهجوم عن وجود مجالين: centos-bundles [.] com و redhat-bundles [.] com. تحمل هذه المجالات تشابهًا كبيرًا مع الأسماء التي استخدمها المهاجمون أثناء اختراق JumpCloud الذي حدث في يونيو 2023.

يُظهر OpenCarrot تقاربًا نادرًا لمجموعات APT الكورية الشمالية (التهديد المستمر المتقدم)

تشترك كل من ScarCruft (المعروف أيضًا باسم APT37) ومجموعة Lazarus Group في العلاقات مع كوريا الشمالية. ومع ذلك ، يُعتقد أن ScarCruft يقع ضمن اختصاص وزارة أمن الدولة (MSS). في المقابل ، من المفترض أن تعمل مجموعة Lazarus Group داخل Lab 110 ، وهو فصيل من المكتب العام للاستطلاع (RGB) ، والذي يعمل كجهاز استخبارات خارجي رئيسي في البلاد.

يمثل هجوم OpenCarrot تعاونًا جديرًا بالملاحظة حيث وجهت مجموعتان منفصلتان من أنشطة التهديد المستقلة المرتبطة بكوريا الشمالية جهودهما نحو الهدف نفسه. يشير هذا التقارب إلى مهمة تجسس إستراتيجية ذات تداعيات كبيرة ، ربما تهدف إلى إفادة برنامج الصواريخ المثير للجدل في كوريا الشمالية.

في الواقع ، تعد عملية OpenCarrot بمثابة مثال مقنع لمبادرات كوريا الشمالية الاستباقية للنهوض بأهداف تطوير الصواريخ بشكل خفي. يتضح هذا من خلال قرار المساومة المباشرة على ما يعتبر منظمة بارزة في القاعدة الصناعية الدفاعية الروسية (DIB).