OpenCarrot Backdoor

Χάκερ που χρηματοδοτούνται από το κράτος που πιστεύεται ότι είναι συνδεδεμένοι με τη Βόρεια Κορέα έχουν θέσει σε κίνδυνο την ευαίσθητη εσωτερική υποδομή πληροφορικής, με αξιοσημείωτες περιπτώσεις όπως η παραβίαση ενός διακομιστή email και η ανάπτυξη μιας κερκόπορτας των Windows, γνωστής ως OpenCarrot. Οι κυβερνοεπιτιθέμενοι στόχευσαν συγκεκριμένα την NPO Mashinostroyeniya, μια εξέχουσα ρωσική εταιρεία μηχανικής πυραύλων.

Η παραβίαση που αφορά τον διακομιστή email Linux έχει αποδοθεί στην ομάδα hacking ScarCruft . Ωστόσο, η κερκόπορτα των Windows, OpenCarrot, είχε συσχετιστεί στο παρελθόν με το Lazarus Group , με τις πρώτες επιθέσεις που το χρησιμοποιούσαν να εντοπίστηκαν από ειδικούς στον κυβερνοχώρο στα μέσα Μαΐου 2022.

Το NPO Mashinostroyeniya, που βρίσκεται στο Reutov, είναι ένα γραφείο σχεδιασμού πυραύλων που αντιμετωπίζει κυρώσεις από το Υπουργείο Οικονομικών των ΗΠΑ από τον Ιούλιο του 2014. Οι κυρώσεις επιβλήθηκαν λόγω της σύνδεσης του γραφείου με τις «συνεχείς προσπάθειες της Ρωσίας να αποσταθεροποιήσει την ανατολική Ουκρανία και τη συνεχιζόμενη κατοχή της Κριμαίας».

Το OpenCarrot Backdoor διαθέτει μια εκτεταμένη σειρά από απειλητικές λειτουργίες

Το OpenCarrot έχει σχεδιαστεί ως βιβλιοθήκη δυναμικής σύνδεσης των Windows (DLL) και προσφέρει υποστήριξη για περισσότερες από 25 διακριτές εντολές. Αυτές οι εντολές διευκολύνουν δραστηριότητες όπως η αναγνώριση, ο χειρισμός συστημάτων αρχείων και διαδικασιών και η διαχείριση διαφόρων μεθόδων επικοινωνίας. Η ευρεία γκάμα λειτουργιών που βρέθηκαν στο OpenCarrot είναι αρκετή για τους επιτιθέμενους να αποκτήσουν τον πλήρη έλεγχο των μηχανημάτων συμβιβασμού. Ταυτόχρονα, οι φορείς απειλής έχουν τη δυνατότητα να πραγματοποιούν πολλαπλές μολύνσεις στο τοπικό δίκτυο του θύματος.

Ενώ η συγκεκριμένη προσέγγιση που ακολουθείται για την παραβίαση του διακομιστή email και η ακολουθία επίθεσης που χρησιμοποιείται για την ανάπτυξη του OpenCarrot παραμένουν άγνωστες, αναγνωρίζεται ότι το ScarCruft χρησιμοποιεί συχνά τακτικές κοινωνικής μηχανικής σε σχήματα phishing για να ξεγελάσει τα θύματα και να παραδώσει backdoors όπως το RokRat .

Επιπλέον, μια διεξοδική ανάλυση της υποδομής επίθεσης αποκάλυψε την ύπαρξη δύο τομέων: centos-packages[.]com και redhat-packages[.]com. Αυτοί οι τομείς μοιάζουν σημαντικά με τα ονόματα που χρησιμοποιήθηκαν από τους φορείς απειλών κατά τη διάρκεια της εισβολής του JumpCloud που έλαβε χώρα τον Ιούνιο του 2023.

Το OpenCarrot εμφανίζει μια σπάνια σύγκλιση ομάδων βορειοκορεατικών APT (Advanced Persistent Threat)

Τόσο η ScarCruft (επίσης γνωστή ως APT37) όσο και ο Όμιλος Lazarus μοιράζονται δεσμούς με τη Βόρεια Κορέα. Ωστόσο, η ScarCruft πιστεύεται ότι εμπίπτει στην αρμοδιότητα του Υπουργείου Κρατικής Ασφάλειας (MSS). Αντίθετα, το Lazarus Group υποτίθεται ότι λειτουργεί στο Lab 110, μια φατρία του Γενικού Γραφείου Αναγνώρισης (RGB), που λειτουργεί ως η κύρια υπηρεσία ξένων πληροφοριών της χώρας.

Η επίθεση OpenCarrot σηματοδοτεί μια αξιοσημείωτη συνεργασία όπου δύο ξεχωριστές ομάδες ανεξάρτητων δραστηριοτήτων απειλών που συνδέονται με τη Βόρεια Κορέα κατευθύνουν τις προσπάθειές τους προς τον ίδιο στόχο. Αυτή η σύγκλιση υποδηλώνει μια στρατηγική αποστολή κατασκοπείας με σημαντικές επιπτώσεις, που πιθανώς προορίζεται να ωφελήσει το επίμαχο πυραυλικό πρόγραμμα της Βόρειας Κορέας.

Πράγματι, η επιχείρηση OpenCarrot χρησιμεύει ως συναρπαστικό παράδειγμα των προληπτικών πρωτοβουλιών της Βόρειας Κορέας για να προωθήσει κρυφά τους στόχους ανάπτυξης πυραύλων της. Αυτό είναι προφανές μέσω της απόφασης να διακυβευτεί άμεσα η οργάνωση που θεωρείται εξέχουσα ρωσική αμυντική-βιομηχανική βάση (DIB).