OpenCarrot Backdoor

Спонсорирани от държавата хакери, за които се смята, че са свързани със Северна Корея, са компрометирали чувствителна вътрешна ИТ инфраструктура, като забележителни случаи включват компрометиране на сървър за електронна поща и внедряване на задна врата на Windows, известна като OpenCarrot. Кибер нападателите са се насочили специално към NPO Mashinostroyeniya, известна руска компания за ракетно инженерство.

Пробивът, включващ имейл сървъра на Linux, се приписва на хакерската група ScarCruft . Въпреки това, задната врата на Windows, OpenCarrot, преди това е била свързвана с Lazarus Group , като първите атаки, използващи нея, бяха открити от експерти по киберсигурност в средата на май 2022 г.

Разположено в Реутов, NPO Mashinostroyeniya е бюро за ракетен дизайн, което е изправено пред санкции от Министерството на финансите на САЩ от юли 2014 г. Санкциите бяха наложени поради връзката на бюрото с „продължаващите опити на Русия да дестабилизира Източна Украйна и продължаващата й окупация на Крим“.

Задната врата на OpenCarrot притежава широк набор от заплашителни функции

OpenCarrot е проектиран като библиотека за динамично свързване на Windows (DLL) и предлага поддръжка за повече от 25 различни команди. Тези команди улесняват дейности като разузнаване, манипулиране на файлови системи и процеси и управление на различни комуникационни методи. Широката гама от функции, открити в OpenCarrot, са достатъчни за атакуващите да установят пълен контрол над компрометираните машини. В същото време участниците в заплахата имат възможност да извършват множество инфекции в локалната мрежа на жертвата.

Докато конкретният подход, предприет за нарушаване на имейл сървъра, и последователността на атаката, използвана за внедряване на OpenCarrot, остават неразкрити, признава се, че ScarCruft често използва тактики на социално инженерство във фишинг схеми, за да подмами жертвите и да достави задни вратички като RokRat .

Освен това, задълбочен анализ на инфраструктурата за атака разкри съществуването на два домейна: centos-packages[.]com и redhat-packages[.]com. Тези домейни имат значителна прилика с имената, използвани от участниците в заплахата по време на хакването на JumpCloud, което се случи през юни 2023 г.

OpenCarrot показва рядка конвергенция на севернокорейските APT (Advanced Persistent Threat) групи

Както ScarCruft (известен също като APT37), така и Lazarus Group споделят връзки със Северна Корея. Въпреки това се смята, че ScarCruft попада в обсега на Министерството на държавната сигурност (MSS). За разлика от тях, групата Lazarus се предполага, че работи в рамките на Lab 110, фракция на General Reconnaissance Bureau (RGB), която служи като основна служба за външно разузнаване на страната.

Атаката OpenCarrot бележи едно забележително сътрудничество, при което два отделни свързани със Северна Корея независими клъстера за активност на заплаха са насочили усилията си към една и съща цел. Това сближаване предполага стратегическа шпионска мисия със значителни последици, вероятно предназначена да облагодетелства спорната ракетна програма на Северна Корея.

Действително, операцията OpenCarrot служи като убедителен пример за проактивните инициативи на Северна Корея за тайно постигане на своите цели за развитие на ракети. Това е очевидно чрез решението директно да се компрометира това, което се смята за видна руска отбранително-промишлена база (DIB) организация.