OpenCarrot Backdoor

Státem sponzorovaní hackeři, o kterých se předpokládá, že jsou napojeni na Severní Koreu, narušili citlivou interní IT infrastrukturu, přičemž pozoruhodné případy zahrnují kompromitaci e-mailového serveru a nasazení zadních vrátek Windows známého jako OpenCarrot. Kybernetičtí útočníci se konkrétně zaměřili na NPO Mashinostroyeniya, prominentní ruskou raketovou inženýrskou společnost.

Narušení týkající se linuxového e-mailového serveru bylo připsáno hackerské skupině ScarCruft . Zadní vrátka Windows, OpenCarrot, však byla již dříve spojována se skupinou Lazarus Group , přičemž první útoky, které je využívají, odhalili odborníci na kybernetickou bezpečnost v polovině května 2022.

NPO Mashinostroyeniya se sídlem v Reutově je kancelář pro návrh raket, která čelí sankcím ze strany ministerstva financí USA od července 2014. Sankce byly uvaleny kvůli napojení úřadu na „pokračující pokusy Ruska destabilizovat východní Ukrajinu a pokračující okupaci Krymu“.

OpenCarrot Backdoor má rozsáhlou řadu ohrožujících funkcí

OpenCarrot je navržen jako dynamická knihovna Windows (DLL) a nabízí podporu pro více než 25 různých příkazů. Tyto příkazy usnadňují činnosti, jako je průzkum, manipulace se systémy souborů a procesy a správa různých komunikačních metod. Široká škála funkcí, které se v OpenCarrot nacházejí, útočníkům stačí k úplné kontrole nad kompromitovanými stroji. Současně je aktérům hrozeb umožněno provádět více infekcí v lokální síti oběti.

Zatímco konkrétní přístup k narušení e-mailového serveru a sekvence útoků použitá k nasazení OpenCarrot zůstávají nezveřejněny, uznává se, že ScarCruft často využívá taktiky sociálního inženýrství v phishingových schématech, aby oklamal oběti a poskytl zadní vrátka, jako je RokRat .

Důkladná analýza útočné infrastruktury navíc odhalila existenci dvou domén: centos-packages[.]com a redhat-packages[.]com. Tyto domény se výrazně podobají názvům, které používali aktéři hrozeb během hacku JumpCloud, ke kterému došlo v červnu 2023.

OpenCarrot ukazuje vzácnou konvergenci severokorejských skupin APT (pokročilé perzistentní hrozby)

ScarCruft (také známý jako APT37) a Lazarus Group sdílejí vazby na Severní Koreu. Předpokládá se však, že ScarCruft spadá do působnosti Ministerstva státní bezpečnosti (MSS). Naproti tomu skupina Lazarus údajně působí v rámci Lab 110, frakce Reconnaissance General Bureau (RGB), která slouží jako hlavní zahraniční zpravodajská služba země.

Útok OpenCarrot znamená pozoruhodnou spolupráci, kdy dva různé nezávislé skupiny hrozeb spojených se Severní Koreou nasměrovaly své úsilí ke stejnému cíli. Tato konvergence naznačuje strategickou špionážní misi s významnými důsledky, pravděpodobně zamýšlenou ve prospěch sporného raketového programu Severní Koreje.

Operace OpenCarrot skutečně slouží jako přesvědčivý příklad proaktivních iniciativ Severní Koreje k utajenému prosazování jejích cílů v oblasti vývoje raket. To je zřejmé z rozhodnutí přímo kompromitovat to, co je považováno za prominentní organizaci ruské obranné průmyslové základny (DIB).