OpenCarrot tagauks

Riigi toetatud häkkerid, kes arvatakse olevat seotud Põhja-Koreaga, on ohustanud tundlikku sisemist IT-infrastruktuuri, mille hulgas on märkimisväärseid juhtumeid, sealhulgas meiliserveri kahjustamine ja Windowsi tagaukse, mida nimetatakse OpenCarrotiks, juurutamine. Küberründajad võtsid sihikule NPO Mashinostroyeniya, silmapaistev Venemaa raketitehnoloogia ettevõte.

Linuxi meiliserverit puudutav rikkumine on omistatud häkkimisrühmale ScarCruft . Windowsi tagaust OpenCarrot on aga varem seostatud Lazarus Groupiga ning esimesed seda kasutanud rünnakud tuvastasid küberturvalisuse eksperdid 2022. aasta mai keskel.

Reutovis asuv NPO Mashinostroyeniya on raketidisaini büroo, mis on USA rahandusministeeriumi sanktsioonide all olnud alates 2014. aasta juulist. Sanktsioonid kehtestati büroo seotuse tõttu „Venemaa jätkuvate katsetega destabiliseerida Ida-Ukrainat ja selle jätkuva okupeerimisega” Krimmis.

OpenCarrot tagauksel on suur hulk ähvardavaid funktsioone

OpenCarrot on loodud Windowsi dünaamilise lingi raamatukoguna (DLL) ja pakub tuge enam kui 25 erinevale käsule. Need käsud hõlbustavad selliseid tegevusi nagu luure, failisüsteemide ja protsessidega manipuleerimine ning erinevate sidemeetodite haldamine. OpenCarrotis leiduvast laiast funktsioonide valikust piisab, et ründajad saavutaksid täieliku kontrolli kompromissmasinate üle. Samal ajal saavad ohus osalejad ohvri kohalikus võrgus läbi viia mitu nakkust.

Kuigi konkreetne lähenemine meiliserveri rikkumisele ja OpenCarroti juurutamiseks kasutatav ründejärjestus jääb avalikuks, tunnistatakse, et ScarCruft kasutab sageli andmepüügiskeemides sotsiaalse manipuleerimise taktikat, et petta ohvreid ja pakkuda tagauksi, nagu RokRat .

Lisaks on ründeinfrastruktuuri põhjalik analüüs paljastanud kahe domeeni olemasolu: centos-packages[.]com ja redhat-packages[.]com. Nendel domeenidel on märkimisväärne sarnasus nimedega, mida kasutasid ohus osalejad JumpCloudi häkkimise ajal, mis toimus 2023. aasta juunis.

OpenCarrot näitab Põhja-Korea APT (Advanced Persistent Threat) rühmade haruldast lähenemist

Nii ScarCruft (tuntud ka kui APT37) ja Lazarus Group jagavad sidemeid Põhja-Koreaga. Arvatakse aga, et ScarCruft kuulub riikliku julgeolekuministeeriumi (MSS) pädevusse. Seevastu Lazaruse grupp tegutseb väidetavalt Lab 110 raames, mis on Reconnaissance General Bureau (RGB) fraktsioon, mis toimib riigi peamise välisluureteenistusena.

OpenCarroti rünnak tähistab tähelepanuväärset koostööd, kus kaks erinevat Põhja-Koreaga seotud sõltumatut ohutegevuse klastrit on suunanud oma jõupingutused sama sihtmärgi poole. See lähenemine viitab olulise mõjuga strateegilisele spionaažimissioonile, mis võib olla mõeldud Põhja-Korea vaidlusalusele raketiprogrammile kasuks.

Tõepoolest, OpenCarroti operatsioon on veenev näide Põhja-Korea ennetavatest algatustest oma rakettide arendamise eesmärkide varjamisel edendamisel. See ilmneb otsusest ohustada otseselt Venemaa kaitsetööstusbaasi (DIB) silmapaistvat organisatsiooni.