OpenCarrot Backdoor

Hakeri pod pokroviteljstvom države za koje se vjeruje da su povezani sa Sjevernom Korejom ugrozili su osjetljivu internu IT infrastrukturu, sa značajnim primjerima uključujući kompromitaciju poslužitelja e-pošte i postavljanje Windows backdoor-a poznatog kao OpenCarrot. Cyber napadači posebno su ciljali NPO Mashinostroyeniya, istaknutu rusku tvrtku za raketni inženjering.

Povreda koja uključuje Linux poslužitelj e-pošte pripisuje se hakerskoj grupi ScarCruft . Međutim, Windows backdoor, OpenCarrot, već je bio povezan s Lazarus Group , a prve napade koji su koristili otkrili su stručnjaci za kibernetičku sigurnost sredinom svibnja 2022.

Smješten u Reutovu, NPO Mashinostroyeniya projektni je biro za rakete koji je suočen sa sankcijama Ministarstva financija SAD-a od srpnja 2014. Sankcije su uvedene zbog povezanosti biroa s 'nastavljenim pokušajima Rusije da destabilizira istočnu Ukrajinu i njezinom tekućom okupacijom Krima.'

OpenCarrot Backdoor posjeduje opsežan niz prijetećih funkcija

OpenCarrot je dizajniran kao Windows biblioteka dinamičkog povezivanja (DLL) i nudi podršku za više od 25 različitih naredbi. Ove naredbe olakšavaju aktivnosti kao što su izviđanje, manipulacija datotečnim sustavima i procesima te upravljanje različitim komunikacijskim metodama. Širok raspon funkcija koje se nalaze u OpenCarrotu dovoljan je da napadači uspostave potpunu kontrolu nad kompromitiranim strojevima. Istodobno, akterima prijetnje omogućeno je izvođenje višestrukih infekcija preko žrtvine lokalne mreže.

Iako specifični pristup poduzet za probijanje poslužitelja e-pošte i sekvenca napada korištena za implementaciju OpenCarrota ostaju neotkriveni, priznaje se da ScarCruft često koristi taktike društvenog inženjeringa u shemama krađe identiteta kako bi prevario žrtve i isporučio stražnja vrata kao što je RokRat .

Nadalje, temeljita analiza infrastrukture napada otkrila je postojanje dvije domene: centos-packages[.]com i redhat-packages[.]com. Ove domene imaju značajnu sličnost s imenima koja su koristili prijetnje tijekom hakiranja JumpClouda koje se dogodilo u lipnju 2023.

OpenCarrot pokazuje rijetku konvergenciju sjevernokorejskih APT (Advanced Persistent Threat) grupa

I ScarCruft (također poznat kao APT37) i Lazarus Group dijele veze sa Sjevernom Korejom. Međutim, vjeruje se da ScarCruft spada pod nadležnost Ministarstva državne sigurnosti (MSS). Nasuprot tome, Lazarusova grupa navodno djeluje unutar Laba 110, frakcije Glavnog ureda za izviđanje (RGB), koji služi kao primarna strana obavještajna služba u zemlji.

Napad OpenCarrot označava značajnu suradnju u kojoj su dva različita klastera prijetnji povezanih sa Sjevernom Korejom usmjerila svoje napore prema istom cilju. Ova konvergencija sugerira stratešku špijunsku misiju sa značajnim implikacijama, koja je vjerojatno namijenjena dobrobiti sjevernokorejskog spornog raketnog programa.

Doista, operacija OpenCarrot služi kao uvjerljiv primjer proaktivnih inicijativa Sjeverne Koreje da potajno unaprijedi svoje ciljeve razvoja projektila. To je vidljivo kroz odluku da se izravno kompromitira ono što se smatra istaknutom organizacijom ruske obrambeno-industrijske baze (DIB).