OpenCarrot Backdoor

هکرهای تحت حمایت دولتی که گمان می‌رود به کره شمالی متصل هستند، زیرساخت‌های حساس فناوری اطلاعات داخلی را به خطر انداخته‌اند، با موارد قابل‌توجهی از جمله به خطر افتادن یک سرور ایمیل و استقرار یک درب پشتی ویندوز معروف به OpenCarrot. مهاجمان سایبری به طور خاص NPO Mashinostroyeniya، یک شرکت مهندسی موشکی برجسته روسی را هدف قرار دادند.

نقض سرور ایمیل لینوکس به گروه هک ScarCruft نسبت داده شده است. با این حال، درب پشتی ویندوز، OpenCarrot، قبلاً با گروه Lazarus مرتبط بوده است که اولین حملات با استفاده از آن توسط کارشناسان امنیت سایبری در اواسط می 2022 شناسایی شد.

NPO Mashinostroyeniya واقع در Reutov، یک دفتر طراحی موشک است که از ژوئیه 2014 با تحریم های وزارت خزانه داری ایالات متحده مواجه شده است. این تحریم ها به دلیل ارتباط این دفتر با "تلاش های مستمر روسیه برای بی ثبات کردن شرق اوکراین و اشغال مداوم کریمه توسط آن" اعمال شده اند.

درب پشتی OpenCarrot دارای مجموعه گسترده ای از عملکردهای تهدید کننده است

OpenCarrot به عنوان یک کتابخانه پیوند پویا (DLL) ویندوز طراحی شده است و از بیش از 25 فرمان مجزا پشتیبانی می کند. این دستورات فعالیت هایی مانند شناسایی، دستکاری سیستم های فایل و فرآیندها و مدیریت روش های ارتباطی مختلف را تسهیل می کنند. طیف گسترده ای از توابع موجود در OpenCarrot برای مهاجمان کافی است تا کنترل کاملی بر ماشین های سازش ایجاد کنند. در عین حال، عوامل تهدید قادر به انجام چندین عفونت در سراسر شبکه محلی قربانی هستند.

در حالی که رویکرد خاص اتخاذ شده برای نقض سرور ایمیل و توالی حمله مورد استفاده برای استقرار OpenCarrot فاش نشده است، پذیرفته شده است که ScarCruft اغلب از تاکتیک‌های مهندسی اجتماعی در طرح‌های فیشینگ برای فریب قربانیان و ارائه درب‌های پشتی مانند RokRat استفاده می‌کند.

علاوه بر این، تجزیه و تحلیل کامل زیرساخت حمله، وجود دو دامنه را آشکار کرده است: centos-packages[.]com و redhat-packages[.]com. این دامنه‌ها شباهت زیادی به نام‌هایی دارند که توسط عوامل تهدید در طول هک JumpCloud که در ژوئن 2023 رخ داد، استفاده کردند.

OpenCarrot یک همگرایی نادر از گروه‌های APT کره شمالی (تهدید پایدار پیشرفته) را نشان می‌دهد

هر دو ScarCruft (همچنین به عنوان APT37 شناخته می شود) و Lazarus Group با کره شمالی ارتباط دارند. با این حال، اعتقاد بر این است که ScarCruft تحت صلاحیت وزارت امنیت دولتی (MSS) قرار دارد. در مقابل، گروه لازاروس ظاهراً در آزمایشگاه 110، جناحی از اداره کل شناسایی (RGB)، که به عنوان سرویس اطلاعات خارجی اصلی کشور عمل می کند، فعالیت می کند.

حمله OpenCarrot یک همکاری قابل توجه را نشان می دهد که در آن دو خوشه فعالیت تهدید مستقل مرتبط با کره شمالی تلاش های خود را به سمت یک هدف هدایت کرده اند. این همگرایی حاکی از یک مأموریت جاسوسی استراتژیک با پیامدهای مهم است که احتمالاً به نفع برنامه موشکی جنجالی کره شمالی است.

در واقع، عملیات OpenCarrot به عنوان یک نمونه قانع کننده از ابتکارات پیشگیرانه کره شمالی برای پیشبرد اهداف توسعه موشکی خود به طور مخفیانه عمل می کند. این امر از طریق تصمیم برای به خطر انداختن مستقیم سازمانی که به عنوان یک سازمان برجسته دفاعی-صنعتی روسیه (DIB) در نظر گرفته می شود، مشهود است.