OpenCarrot Backdoor

Valtion tukemat hakkerit, joiden uskotaan olevan yhteydessä Pohjois-Koreaan, ovat vaarantaneet arkaluontoisen sisäisen IT-infrastruktuurin, ja huomattavia tapauksia ovat muun muassa sähköpostipalvelimen vaarantaminen ja OpenCarrot-nimisen Windowsin takaoven käyttöönotto. Kyberhyökkääjät kohdistuivat nimenomaan NPO Mashinostroyeniyaan, joka on tunnettu venäläinen ohjustekniikkayritys.

Linux-sähköpostipalvelimeen liittyvän rikkomuksen syyksi on hakkerointiryhmä ScarCruft . Windows-takaovi, OpenCarrot, on kuitenkin aiemmin liitetty Lazarus Groupiin , ja kyberturvallisuusasiantuntijat havaitsivat ensimmäiset sitä käyttävät hyökkäykset toukokuun 2022 puolivälissä.

Reutovissa sijaitseva NPO Mashinostroyeniya on rakettisuunnittelutoimisto, jolle Yhdysvaltain valtiovarainministeriö on määrännyt pakotteita heinäkuusta 2014 lähtien. Pakotteet määrättiin, koska toimistolla oli yhteys "Venäjän jatkuviin yrityksiin horjuttaa Itä-Ukrainaa ja sen jatkuvaan Krimin miehitykseen".

OpenCarrot-takaovella on laaja valikoima uhkaavia toimintoja

OpenCarrot on suunniteltu Windowsin dynaamiseksi linkkikirjastoksi (DLL) ja tukee yli 25:tä erillistä komentoa. Nämä komennot helpottavat toimintoja, kuten tiedustelu, tiedostojärjestelmien ja prosessien manipulointi sekä erilaisten viestintämenetelmien hallinta. OpenCarrotin laajat toiminnot riittävät hyökkääjille saamaan täydellisen hallinnan kompromissikoneista. Samalla uhkatoimijat voivat suorittaa useita tartuntoja uhrin paikallisverkossa.

Vaikka sähköpostipalvelimen murtamiseen käytetty erityinen lähestymistapa ja OpenCarrotin käyttöönotossa käytetty hyökkäysjärjestys jäävät paljastamatta, on tunnustettu, että ScarCruft käyttää usein sosiaalisen manipuloinnin taktiikkaa tietojenkalastelujärjestelmissä huijatakseen uhreja ja tarjotakseen takaovia, kuten RokRat .

Lisäksi hyökkäysinfrastruktuurin perusteellinen analyysi on paljastanut kahden verkkotunnuksen olemassaolon: centos-packages[.]com ja redhat-packages[.]com. Nämä verkkotunnukset muistuttavat merkittävästi uhkatoimijoiden kesäkuussa 2023 tapahtuneen JumpCloud-hakkeroinnin aikana käyttämiä nimiä.

OpenCarrot näyttää harvinaisen pohjois-korealaisten APT (Advanced Persistent Threat) -ryhmien lähentymisen

Sekä ScarCruft (tunnetaan myös nimellä APT37) että Lazarus Group jakavat siteet Pohjois-Koreaan. ScarCruftin uskotaan kuitenkin kuuluvan valtion turvallisuusministeriön (MSS) toimivaltaan. Sitä vastoin Lazarus Groupin oletetaan toimivan Lab 110:ssä, Reconnaissance General Bureaun (RGB) ryhmittymässä, joka toimii maan ensisijaisena ulkomaantiedustelupalveluna.

OpenCarrot-hyökkäys merkitsee huomionarvoista yhteistyötä, jossa kaksi erillistä Pohjois-Koreaan liittyvää riippumatonta uhkatoimintaklusteria ovat kohdistaneet ponnistelunsa samaan kohteeseen. Tämä lähentyminen viittaa strategiseen vakoiluoperaatioon, jolla on merkittäviä seurauksia ja jonka on mahdollisesti tarkoitus hyödyttää Pohjois-Korean kiistanalaista ohjusohjelmaa.

OpenCarrot-operaatio onkin vakuuttava esimerkki Pohjois-Korean ennakoivista aloitteista edistää ohjuskehitystavoitteitaan vaivihkaa. Tämä käy ilmi päätöksestä vaarantaa suoraan DIB (Defence-Industrial Base) -organisaatio.