Åben gulerods bagdør

Statssponserede hackere, der menes at være forbundet til Nordkorea, har kompromitteret følsom intern it-infrastruktur, med bemærkelsesværdige tilfælde, herunder kompromittering af en e-mail-server og implementering af en Windows-bagdør kendt som OpenCarrot. Cyberangriberne var specifikt rettet mod NPO Mashinostroyeniya, et fremtrædende russisk missilingeniørfirma.

Bruddet, der involverer Linux-e-mail-serveren, er blevet tilskrevet hackergruppen ScarCruft . Windows-bagdøren, OpenCarrot, har imidlertid tidligere været forbundet med Lazarus-gruppen , hvor de første angreb, der bruger den, blev opdaget af cybersikkerhedseksperter i midten af maj 2022.

Beliggende i Reutov, er NPO Mashinostroyeniya et raketdesignbureau, der har været udsat for sanktioner fra det amerikanske finansministerium siden juli 2014. Sanktionerne blev pålagt på grund af bureauets forbindelse til 'Ruslands fortsatte forsøg på at destabilisere det østlige Ukraine og dets igangværende besættelse af Krim'.

OpenCarrot-bagdøren har en lang række truende funktioner

OpenCarrot er designet som et Windows dynamic-link library (DLL) og tilbyder understøttelse af mere end 25 forskellige kommandoer. Disse kommandoer letter aktiviteter såsom rekognoscering, manipulation af filsystemer og processer og styring af forskellige kommunikationsmetoder. Det brede udvalg af funktioner, der findes i OpenCarrot, er nok til, at angriberne kan etablere fuldstændig kontrol over kompromismaskinerne. Samtidig sættes trusselsaktørerne i stand til at udføre flere infektioner på tværs af ofrets lokale netværk.

Mens den specifikke tilgang, der tages for at bryde e-mail-serveren og angrebssekvensen, der bruges til at implementere OpenCarrot, forbliver uoplyst, anerkendes det, at ScarCruft ofte bruger social engineering-taktikker i phishing-skemaer til at narre ofre og levere bagdøre såsom RokRat .

Desuden har en grundig analyse af angrebsinfrastrukturen afsløret eksistensen af to domæner: centos-packages[.]com og redhat-packages[.]com. Disse domæner har en betydelig lighed med de navne, der blev brugt af trusselsaktørerne under JumpCloud-hacket, der fandt sted i juni 2023.

OpenCarrot viser en sjælden konvergens af nordkoreanske APT-grupper (Advanced Persistent Threat)

Både ScarCruft (også kendt som APT37) og Lazarus Group deler bånd til Nordkorea. ScarCruft menes dog at falde ind under Ministeriet for Statssikkerhed (MSS). I modsætning hertil opererer Lazarus Group angiveligt inden for Lab 110, en fraktion af Reconnaissance General Bureau (RGB), som fungerer som landets primære udenlandske efterretningstjeneste.

OpenCarrot-angrebet markerer et bemærkelsesværdigt samarbejde, hvor to særskilte Nordkorea-forbundne uafhængige trusselsaktivitetsklynger har rettet deres indsats mod det samme mål. Denne konvergens antyder en strategisk spionagemission med betydelige implikationer, muligvis beregnet til at gavne Nordkoreas omstridte missilprogram.

Faktisk fungerer OpenCarrot-operationen som et overbevisende eksempel på Nordkoreas proaktive initiativer til at fremme sine missiludviklingsmål i det skjulte. Dette er tydeligt gennem beslutningen om direkte at kompromittere, hvad der anses for at være en fremtrædende russisk forsvarsindustribase (DIB) organisation.