OpenCarrot Backdoor

Valstybės remiami įsilaužėliai, kurie, kaip manoma, yra prisijungę prie Šiaurės Korėjos, pažeidė jautrią vidinę IT infrastruktūrą, įskaitant el. pašto serverio pažeidimą ir „Windows“ užpakalinių durų, žinomų kaip „OpenCarrot“, diegimą. Kibernetiniai užpuolikai konkrečiai nusitaikė į NPO Mashinostroyeniya, žinomą Rusijos raketų inžinerijos įmonę.

Pažeidimas, susijęs su Linux el. pašto serveriu, buvo priskirtas įsilaužimo grupei ScarCruft . Tačiau „Windows“ užpakalinės durys „OpenCarrot“ anksčiau buvo siejamos su „ Lazarus Group“ , o pirmąsias atakas, naudojant jas, kibernetinio saugumo ekspertai aptiko 2022 m. gegužės viduryje.

Reutove įsikūręs NPO Mashinostroyeniya yra raketų projektavimo biuras, kuriam nuo 2014 m. liepos mėn. buvo taikomos JAV iždo departamento sankcijos. Sankcijos buvo įvestos dėl biuro ryšio su „Rusijos nuolatiniais bandymais destabilizuoti Rytų Ukrainą ir tebesitęsiančia Krymo okupacija“.

„OpenCarrot Backdoor“ turi daugybę grėsmingų funkcijų

„OpenCarrot“ sukurta kaip „Windows“ dinaminių nuorodų biblioteka (DLL) ir palaiko daugiau nei 25 skirtingas komandas. Šios komandos palengvina tokias veiklas kaip žvalgyba, manipuliavimas failų sistemomis ir procesais bei įvairių komunikacijos metodų valdymas. Plataus „OpenCarrot“ funkcijų spektro pakanka, kad užpuolikai visiškai kontroliuotų kompromisines mašinas. Tuo pačiu metu grėsmės veikėjai gali užkrėsti daugybę infekcijų aukos vietiniame tinkle.

Nors konkretus būdas pažeisti el. pašto serverį ir atakų seka, naudojama „OpenCarrot“ diegti, lieka neatskleidžiama, pripažįstama, kad „ScarCruft“ dažnai naudoja socialinės inžinerijos taktiką sukčiavimo schemose, kad apgautų aukas ir pristatytų užpakalines duris, pvz., „RokRat “.

Be to, išsami atakų infrastruktūros analizė atskleidė, kad egzistuoja du domenai: centos-packages[.]com ir redhat-packages[.]com. Šie domenai labai panašūs į pavadinimus, kuriuos naudojo grėsmės veikėjai per JumpCloud įsilaužimą, įvykusį 2023 m. birželio mėn.

„OpenCarrot“ rodo retą Šiaurės Korėjos APT (išplėstinės nuolatinės grėsmės) grupių konvergenciją

Tiek „ScarCruft“ (taip pat žinomas kaip APT37), tiek „Lazarus Group“ sieja ryšiai su Šiaurės Korėja. Tačiau manoma, kad „ScarCruft“ priklauso Valstybės saugumo ministerijos (VSD) kompetencijai. Priešingai, Lazarus grupė tariamai veikia Lab 110, Generalinio žvalgybos biuro (RGB) frakcijoje, kuri yra pagrindinė šalies užsienio žvalgybos tarnyba.

„OpenCarrot“ ataka žymi dėmesio vertą bendradarbiavimą, kai dvi skirtingos su Šiaurės Korėja susijusios nepriklausomos grėsmės veiklos grupės savo pastangas nukreipė į tą patį tikslą. Ši konvergencija rodo strateginę šnipinėjimo misiją, turinčią reikšmingų pasekmių ir galbūt skirta Šiaurės Korėjos ginčytinai raketų programai.

Iš tiesų, „OpenCarrot“ operacija yra įtikinamas Šiaurės Korėjos iniciatyvių iniciatyvų, siekiant paslapčia siekti savo raketų plėtros tikslų, pavyzdys. Tai akivaizdu iš sprendimo tiesiogiai sukompromituoti tai, kas laikoma iškilia Rusijos gynybos-pramoninės bazės (DIB) organizacija.