OpenCarrot Backdoor

Államilag támogatott hackerek, akikről feltételezik, hogy kapcsolatban állnak Észak-Koreával, veszélybe sodorták az érzékeny belső informatikai infrastruktúrát, és figyelemre méltó esetek közé tartozik az e-mail-szerver kompromittálása és az OpenCarrot néven ismert Windows hátsó ajtó telepítése. A kibertámadások kifejezetten az NPO Mashinostroyeniya nevű prominens orosz rakétamérnöki vállalatot vették célba.

A Linux e-mail szervert érintő incidenst a ScarCruft hackercsoportnak tulajdonítják. A Windows-hátsó ajtót, az OpenCarrot-t azonban korábban a Lazarus Group- hoz hozták összefüggésbe, az ezt használó első támadásokat 2022 májusának közepén észlelték a kiberbiztonsági szakértők.

A Reutovban található NPO Mashinostroyeniya egy rakétatervező iroda, amelyre 2014 júliusa óta az Egyesült Államok Pénzügyminisztériuma szankciókat sújt. A szankciókat azért szabták ki, mert az iroda kapcsolatban állt „Oroszország folyamatos kísérleteivel Kelet-Ukrajna destabilizálására és Krím folyamatos megszállásával”.

Az OpenCarrot Backdoor fenyegető funkciók széles skálájával rendelkezik

Az OpenCarrot Windows dinamikus hivatkozási könyvtárnak (DLL) készült, és több mint 25 különálló parancs támogatását kínálja. Ezek a parancsok megkönnyítik az olyan tevékenységeket, mint a felderítés, a fájlrendszerek és folyamatok manipulálása, valamint a különféle kommunikációs módszerek kezelése. Az OpenCarrot-ban található funkciók széles skálája elegendő ahhoz, hogy a támadók teljes irányítást szerezzenek a kompromittált gépek felett. Ugyanakkor a fenyegetés szereplői több fertőzést is végrehajthatnak az áldozat helyi hálózatán.

Noha az e-mail szerver feltörésének konkrét megközelítése és az OpenCarrot telepítéséhez használt támadási sorrend továbbra sem ismert, elismert tény, hogy a ScarCruft gyakran alkalmaz social engineering taktikákat az adathalász rendszerekben, hogy becsapja az áldozatokat, és olyan hátsó ajtókat biztosítson, mint például a RokRat .

Ezenkívül a támadási infrastruktúra alapos elemzése két tartomány létezését tárta fel: a centos-packages[.]com és a redhat-packages[.]com. Ezek a tartományok jelentős hasonlóságot mutatnak azokkal a nevekkel, amelyeket a fenyegetés szereplői használtak a JumpCloud 2023 júniusában történt feltörése során.

Az OpenCarrot az észak-koreai APT (Advanced Persistent Threat) csoportok ritka konvergenciáját mutatja

A ScarCruft (más néven APT37) és a Lazarus Group is kapcsolatban áll Észak-Koreával. A ScarCruft azonban vélhetően az Állambiztonsági Minisztérium (MSS) hatáskörébe tartozik. Ezzel szemben a Lazarus Csoport állítólag a Lab 110-ben, a Reconnaissance General Bureau (RGB) frakciójában működik, amely az ország elsődleges külföldi hírszerző szolgálataként szolgál.

Az OpenCarrot támadás figyelemre méltó együttműködést jelent, amelyben két különálló, Észak-Koreához köthető független fenyegetési klaszter ugyanazon cél felé irányította erőfeszítéseit. Ez a konvergencia jelentős következményekkel járó stratégiai kémküldetést sugall, amely valószínűleg Észak-Korea vitatott rakétaprogramjának javára szolgál.

Az OpenCarrot hadművelet valóban meggyőző példája Észak-Korea proaktív kezdeményezéseinek, amelyek célja a rakétafejlesztési célkitűzések rejtett előmozdítása. Ez nyilvánvaló abból a döntésből, hogy közvetlenül kompromittálják a prominens orosz védelmi-ipari bázis (DIB) szervezetet.