OpenCarrot Backdoor

Els pirates informàtics patrocinats per l'estat que es creu que estan connectats a Corea del Nord han compromès una infraestructura informàtica interna sensible, amb exemples notables que inclouen el compromís d'un servidor de correu electrònic i el desplegament d'una porta posterior de Windows coneguda com OpenCarrot. Els ciberatacants van apuntar específicament a NPO Mashinostroyeniya, una destacada empresa russa d'enginyeria de míssils.

La violació del servidor de correu electrònic de Linux s'ha atribuït al grup de pirateria ScarCruft . Tanmateix, la porta del darrere de Windows, OpenCarrot, s'ha associat prèviament amb el Grup Lazarus , i els primers atacs que l'utilitzen van ser detectats per experts en ciberseguretat a mitjans de maig de 2022.

Situat a Reutov, NPO Mashinostroyeniya és una oficina de disseny de coets que s'enfronta a sancions del Departament del Tresor dels EUA des del juliol de 2014. Les sancions es van imposar a causa de la connexió de l'oficina amb "els intents continuats de Rússia de desestabilitzar l'est d'Ucraïna i la seva ocupació en curs de Crimea".

La porta posterior OpenCarrot posseeix una àmplia gamma de funcions amenaçadores

OpenCarrot està dissenyat com una biblioteca d'enllaços dinàmics (DLL) de Windows i ofereix suport per a més de 25 ordres diferents. Aquestes ordres faciliten activitats com ara el reconeixement, la manipulació de sistemes i processos de fitxers i la gestió de diversos mètodes de comunicació. L'àmplia gamma de funcions que es troben a OpenCarrot són suficients perquè els atacants estableixin un control complet sobre les màquines compromeses. Al mateix temps, els actors de l'amenaça estan habilitats per dur a terme múltiples infeccions a la xarxa local de la víctima.

Tot i que l'enfocament específic adoptat per infringir el servidor de correu electrònic i la seqüència d'atac utilitzada per desplegar OpenCarrot no s'ha revelat, es reconeix que ScarCruft utilitza sovint tàctiques d'enginyeria social en esquemes de pesca per enganyar les víctimes i oferir portes posteriors com RokRat .

A més, una anàlisi exhaustiva de la infraestructura d'atac ha revelat l'existència de dos dominis: centos-packages[.]com i redhat-packages[.]com. Aquests dominis tenen una semblança significativa amb els noms utilitzats pels actors de l'amenaça durant el pirateig JumpCloud que es va produir el juny de 2023.

OpenCarrot mostra una rara convergència de grups nord-coreans APT (amenaça persistent avançada)

Tant ScarCruft (també conegut com APT37) com el Grup Lazarus comparteixen vincles amb Corea del Nord. No obstant això, es creu que ScarCruft està sota la competència del Ministeri de Seguretat de l'Estat (MSS). En canvi, el Grup Lazarus suposadament opera dins del Lab 110, una facció de l'Oficina General de Reconeixement (RGB), que serveix com a servei d'intel·ligència exterior principal del país.

L'atac d'OpenCarrot marca una col·laboració notable en què dos grups d'activitats d'amenaça independents vinculats a Corea del Nord han dirigit els seus esforços cap al mateix objectiu. Aquesta convergència suggereix una missió d'espionatge estratègica amb implicacions importants, possiblement destinada a beneficiar el polèmic programa de míssils de Corea del Nord.

De fet, l'operació OpenCarrot serveix com un exemple convincent de les iniciatives proactives de Corea del Nord per avançar en els seus objectius de desenvolupament de míssils de manera subrepticia. Això és evident a través de la decisió de comprometre directament el que es considera una destacada organització de la Base Industrial de Defensa Russa (DIB).