Backdoor OpenCarrot

Hakerzy sponsorowani przez państwo, co do których uważa się, że są powiązani z Koreą Północną, włamali się do wrażliwej wewnętrznej infrastruktury IT, czego godnymi uwagi przypadkami były włamania do serwera poczty e-mail i wdrożenie backdoora systemu Windows znanego jako OpenCarrot. Cyberprzestępcy celowali w NPO Mashinostroyeniya, znaną rosyjską firmę zajmującą się inżynierią rakietową.

Naruszenie dotyczące serwera pocztowego Linux zostało przypisane grupie hakerskiej ScarCruft . Jednak backdoor Windows, OpenCarrot, był wcześniej kojarzony z grupą Lazarus , a pierwsze ataki z jego wykorzystaniem zostały wykryte przez ekspertów ds. cyberbezpieczeństwa w połowie maja 2022 r.

Mieszcząca się w Reutowie NPO Mashinostroyeniya to biuro projektujące rakiety, które od lipca 2014 r. podlega sankcjom Departamentu Skarbu USA. Sankcje zostały nałożone ze względu na powiązania biura z „ciągłymi próbami destabilizacji wschodniej Ukrainy przez Rosję i trwającą okupacją Krymu”.

Backdoor OpenCarrot posiada szeroki wachlarz groźnych funkcji

OpenCarrot został zaprojektowany jako biblioteka dołączana dynamicznie (DLL) systemu Windows i oferuje obsługę ponad 25 różnych poleceń. Polecenia te ułatwiają czynności takie jak rekonesans, manipulowanie systemami plików i procesami oraz zarządzanie różnymi metodami komunikacji. Szeroka gama funkcji dostępnych w OpenCarrot wystarczy, aby osoby atakujące uzyskały pełną kontrolę nad zainfekowanymi maszynami. Jednocześnie cyberprzestępcy mogą przeprowadzać wiele infekcji w sieci lokalnej ofiary.

Chociaż konkretne podejście zastosowane do włamania do serwera poczty e-mail i sekwencja ataków wykorzystanych do wdrożenia OpenCarrot pozostają nieujawnione, wiadomo, że ScarCruft często wykorzystuje taktyki socjotechniczne w programach phishingowych, aby oszukać ofiary i dostarczyć backdoory, takie jak RokRat .

Ponadto dokładna analiza infrastruktury ataku ujawniła istnienie dwóch domen: centos-packages[.]com i redhat-packages[.]com. Domeny te wykazują znaczne podobieństwo do nazw wykorzystywanych przez cyberprzestępców podczas włamania na JumpCloud, które miało miejsce w czerwcu 2023 r.

OpenCarrot pokazuje rzadką zbieżność północnokoreańskich grup APT (Advanced Persistent Threat)

Zarówno ScarCruft (znany również jako APT37), jak i Grupa Lazarus mają wspólne powiązania z Koreą Północną. Uważa się jednak, że ScarCruft podlega Ministerstwu Bezpieczeństwa Państwowego (MSS). Natomiast Grupa Lazarus rzekomo działa w ramach Lab 110, frakcji Generalnego Biura Rozpoznania (RGB), które służy jako główna służba wywiadu zagranicznego kraju.

Atak OpenCarrot oznacza godną uwagi współpracę, w ramach której dwa odrębne, powiązane z Koreą Północną, niezależne klastry działań związanych z zagrożeniami skierowały swoje wysiłki na ten sam cel. Ta zbieżność sugeruje strategiczną misję szpiegowską o znaczących implikacjach, prawdopodobnie mającą na celu przyniesienie korzyści kontrowersyjnemu programowi rakietowemu Korei Północnej.

Rzeczywiście, operacja OpenCarrot jest przekonującym przykładem proaktywnych inicjatyw Korei Północnej, aby potajemnie realizować cele rozwoju rakiet. Jest to widoczne w decyzji o bezpośrednim skompromitowaniu organizacji uważanej za wybitną rosyjską bazę obronno-przemysłową (DIB).