OpenCarrot Backdoor

Štátom sponzorovaní hackeri, o ktorých sa predpokladá, že sú napojení na Severnú Kóreu, narušili citlivú internú IT infraštruktúru, pričom pozoruhodné prípady zahŕňajú kompromitáciu e-mailového servera a nasadenie Windows backdoor známeho ako OpenCarrot. Kybernetickí útočníci sa zamerali konkrétne na NPO Mashinostroyeniya, prominentnú ruskú raketovú inžiniersku spoločnosť.

Narušenie týkajúce sa e-mailového servera Linuxu bolo pripísané hackerskej skupine ScarCruft . Zadné vrátka systému Windows, OpenCarrot, však boli už predtým spojené so skupinou Lazarus Group , pričom prvé útoky pomocou neho odhalili odborníci na kybernetickú bezpečnosť v polovici mája 2022.

NPO Mashinostroyeniya so sídlom v Reutove je kancelária pre návrh rakiet, ktorá čelí sankciám ministerstva financií USA od júla 2014. Sankcie boli uvalené v dôsledku prepojenia úradu s „pokračujúcimi pokusmi Ruska o destabilizáciu východnej Ukrajiny a pokračujúcou okupáciou Krymu“.

Zadné dvierka OpenCarrot majú rozsiahlu škálu hrozivých funkcií

OpenCarrot je navrhnutý ako dynamická knižnica Windows (DLL) a ponúka podporu pre viac ako 25 rôznych príkazov. Tieto príkazy uľahčujú činnosti, ako je prieskum, manipulácia so súborovými systémami a procesmi a riadenie rôznych komunikačných metód. Široká škála funkcií, ktoré sa nachádzajú v OpenCarrot, stačí útočníkom na získanie úplnej kontroly nad kompromitovanými strojmi. Súčasne je aktérom hrozby umožnené vykonať viacero infekcií cez lokálnu sieť obete.

Zatiaľ čo konkrétny prístup k narušeniu e-mailového servera a postupnosť útokov použitá na nasadenie OpenCarrot zostávajú nezverejnené, uznáva sa, že ScarCruft často využíva taktiky sociálneho inžinierstva v schémach phishingu na oklamanie obetí a poskytovanie zadných vrátok, ako je RokRat .

Okrem toho dôkladná analýza útočnej infraštruktúry odhalila existenciu dvoch domén: centos-packages[.]com a redhat-packages[.]com. Tieto domény majú významnú podobnosť s názvami, ktoré používajú aktéri hrozieb počas hacknutia JumpCloud, ku ktorému došlo v júni 2023.

OpenCarrot ukazuje vzácnu konvergenciu severokórejských skupín APT (pokročilá perzistentná hrozba)

ScarCruft (tiež známy ako APT37) a Lazarus Group zdieľajú väzby so Severnou Kóreou. Verí sa však, že ScarCruft patrí do pôsobnosti Ministerstva štátnej bezpečnosti (MSS). Naproti tomu skupina Lazarus údajne pôsobí v rámci Lab 110, frakcie Reconnaissance General Bureau (RGB), ktorá slúži ako hlavná zahraničná spravodajská služba krajiny.

Útok OpenCarrot predstavuje pozoruhodnú spoluprácu, v rámci ktorej dva odlišné nezávislé skupiny hrozieb spojené so Severnou Kóreou nasmerovali svoje úsilie na rovnaký cieľ. Táto konvergencia naznačuje strategickú špionážnu misiu s významnými dôsledkami, ktorá môže byť v prospech sporného raketového programu Severnej Kórey.

Operácia OpenCarrot skutočne slúži ako presvedčivý príklad proaktívnych iniciatív Severnej Kórey s cieľom tajne presadzovať svoje ciele v oblasti vývoja rakiet. Je to zrejmé z rozhodnutia priamo ohroziť to, čo sa považuje za prominentnú organizáciu ruskej obranno-priemyselnej základne (DIB).