דלת אחורית של גזר פתוח

האקרים בחסות המדינה, שלדעתם קשורים לקוריאה הצפונית, פגעו בתשתית IT פנימית רגישה, עם מקרים בולטים הכוללים התפשרות של שרת אימייל ופריסה של דלת אחורית של Windows הידועה בשם OpenCarrot. תוקפי הסייבר כוונו במיוחד ל-NPO Mashinostroyeniya, חברת הנדסת טילים רוסית בולטת.

הפרצה שכללה את שרת הדוא"ל של לינוקס יוחסה לקבוצת הפריצה ScarCruft . עם זאת, הדלת האחורית של Windows, OpenCarrot, הייתה קשורה בעבר לקבוצת Lazarus , כאשר ההתקפות הראשונות באמצעותה זוהו על ידי מומחי אבטחת סייבר באמצע מאי 2022.

ממוקמת בראוטוב, NPO Mashinostroyeniya היא לשכה לתכנון רקטות שעומדת בפני סנקציות ממשרד האוצר האמריקני מאז יולי 2014. הסנקציות הוטלו עקב הקשר של הלשכה ל"ניסיונות המתמשכים של רוסיה לערער את היציבות במזרח אוקראינה והכיבוש המתמשך שלה בקרים".

לדלת האחורית OpenCarrot יש מגוון רחב של פונקציות מאיימות

OpenCarrot תוכנן כספריית קישורים דינמיים של Windows (DLL) ומציע תמיכה ליותר מ-25 פקודות שונות. פקודות אלו מקלות על פעילויות כגון סיור, מניפולציה של מערכות קבצים ותהליכים וניהול שיטות תקשורת שונות. מגוון הפונקציות הרחב שנמצא ב-OpenCarrot מספיק לתוקפים כדי לבסס שליטה מלאה על מכונות הפשרה. במקביל, גורמי האיום מתאפשרים לבצע זיהומים מרובים ברשת המקומית של הקורבן.

בעוד שהגישה הספציפית שננקטה כדי לפרוץ את שרת הדואר האלקטרוני ורצף ההתקפה המשמש לפריסת OpenCarrot נותרו בלתי נחשפים, ידוע ש-ScarCruft משתמשת לעתים קרובות בטקטיקות של הנדסה חברתית בתוכניות דיוג כדי להערים על קורבנות ולספק דלתות אחוריות כגון RokRat .

יתר על כן, ניתוח יסודי של תשתית התקיפה חשף את קיומם של שני תחומים: centos-packages[.]com ו-redhat-packages[.]com. תחומים אלה דומים באופן משמעותי לשמות בהם השתמשו שחקני האיום במהלך הפריצה של JumpCloud שהתרחשה ביוני 2023.

OpenCarrot מראה התכנסות נדירה של קבוצות APT (Advanced Persistent Threat) צפון-קוריאנית

גם ScarCruft (הידוע גם בשם APT37) וגם קבוצת Lazarus חולקים קשרים עם צפון קוריאה. עם זאת, מאמינים ש-ScarCruft נופלת תחת סמכות המשרד לביטחון המדינה (MSS). לעומת זאת, קבוצת לזרוס פועלת כביכול בתוך Lab 110, פלג של הלשכה הכללית לסיירת (RGB), המשמשת כשירות הביון הזר הראשי של המדינה.

מתקפת OpenCarrot מסמנת שיתוף פעולה ראוי לציון שבו שני אשכולות איומים עצמאיים המקושרים לצפון קוריאה כיוונו את מאמציהם לעבר אותה מטרה. התכנסות זו מציעה משימת ריגול אסטרטגית בעלת השלכות משמעותיות, שנועדה אולי לטובת תוכנית הטילים השנויה במחלוקת של צפון קוריאה.

ואכן, מבצע OpenCarrot משמש דוגמה משכנעת ליוזמות פרואקטיביות של צפון קוריאה לקדם את יעדי פיתוח הטילים שלה בחשאי. הדבר בא לידי ביטוי מההחלטה להתפשר ישירות על מה שנחשב לארגון בסיס הגנה-תעשייתי רוסי (DIB).