OpenCarrot Backdoor

Gli hacker sponsorizzati dallo stato che si ritiene siano collegati alla Corea del Nord hanno compromesso un'infrastruttura IT interna sensibile, con casi notevoli tra cui la compromissione di un server di posta elettronica e l'implementazione di una backdoor di Windows nota come OpenCarrot. Gli aggressori informatici hanno preso di mira specificamente la NPO Mashinostroyeniya, un'importante società di ingegneria missilistica russa.

La violazione che ha coinvolto il server di posta Linux è stata attribuita al gruppo di hacker ScarCruft . Tuttavia, la backdoor di Windows, OpenCarrot, è stata precedentemente associata al gruppo Lazarus , con i primi attacchi che la utilizzavano rilevati dagli esperti di sicurezza informatica a metà maggio 2022.

Situato a Reutov, l'NPO Mashinostroyeniya è un ufficio di progettazione missilistica che ha subito sanzioni dal Dipartimento del Tesoro degli Stati Uniti dal luglio 2014. Le sanzioni sono state imposte a causa del legame dell'ufficio con i "continui tentativi della Russia di destabilizzare l'Ucraina orientale e la sua continua occupazione della Crimea".

La backdoor OpenCarrot possiede una vasta gamma di funzioni minacciose

OpenCarrot è progettato come una libreria a collegamento dinamico (DLL) di Windows e offre supporto per più di 25 comandi distinti. Questi comandi facilitano attività come la ricognizione, la manipolazione di file system e processi e la gestione di vari metodi di comunicazione. L'ampia gamma di funzioni presenti in OpenCarrot è sufficiente agli aggressori per stabilire il controllo completo sulle macchine compromesse. Allo stesso tempo, gli attori della minaccia sono abilitati a eseguire più infezioni attraverso la rete locale della vittima.

Sebbene l'approccio specifico adottato per violare il server di posta elettronica e la sequenza di attacco utilizzata per distribuire OpenCarrot rimangano segreti, è riconosciuto che ScarCruft utilizza frequentemente tattiche di ingegneria sociale negli schemi di phishing per ingannare le vittime e fornire backdoor come RokRat .

Inoltre, un'analisi approfondita dell'infrastruttura di attacco ha svelato l'esistenza di due domini: centos-packages[.]com e redhat-packages[.]com. Questi domini hanno una somiglianza significativa con i nomi utilizzati dagli attori delle minacce durante l'hacking di JumpCloud avvenuto nel giugno 2023.

OpenCarrot mostra una rara convergenza di gruppi APT (Advanced Persistent Threat) nordcoreani

Sia ScarCruft (noto anche come APT37) che il gruppo Lazarus condividono legami con la Corea del Nord. Tuttavia, si ritiene che ScarCruft rientri nelle competenze del Ministero della Sicurezza di Stato (MSS). Al contrario, il Lazarus Group presumibilmente opera all'interno del Lab 110, una fazione del Reconnaissance General Bureau (RGB), che funge da principale servizio di intelligence straniero del paese.

L'attacco OpenCarrot segna una collaborazione degna di nota in cui due distinti gruppi di attività di minaccia indipendenti collegati alla Corea del Nord hanno diretto i loro sforzi verso lo stesso obiettivo. Questa convergenza suggerisce una missione di spionaggio strategico con implicazioni significative, forse destinata a favorire il controverso programma missilistico della Corea del Nord.

In effetti, l'operazione OpenCarrot funge da esempio convincente delle iniziative proattive della Corea del Nord per far avanzare surrettiziamente i suoi obiettivi di sviluppo missilistico. Ciò è evidente attraverso la decisione di compromettere direttamente quella che è considerata un'importante organizzazione della base industriale di difesa russa (DIB).