Backdoor OpenCarrot

Hekerji, ki jih sponzorira država, za katere se domneva, da so povezani s Severno Korejo, so ogrozili občutljivo notranjo infrastrukturo IT, pri čemer so pomembni primeri, vključno z ogrožanjem e-poštnega strežnika in uvedbo stranskih vrat Windows, znanih kot OpenCarrot. Kibernetski napadalci so posebej ciljali na NPO Mashinostroyeniya, ugledno rusko podjetje za raketni inženiring.

Vdor v e-poštni strežnik Linux je bil pripisan hekerski skupini ScarCruft . Vendar so bila zadnja vrata sistema Windows, OpenCarrot, že prej povezana s skupino Lazarus Group , pri čemer so strokovnjaki za kibernetsko varnost sredi maja 2022 odkrili prve napade z uporabo tega orodja.

NPO Mashinostroyeniya, ki se nahaja v Reutovu, je raketni konstrukcijski biro, ki se sooča s sankcijami Ministrstva za finance ZDA od julija 2014. Sankcije so bile uvedene zaradi povezave biroja z 'nenehnimi poskusi Rusije, da destabilizira vzhodno Ukrajino in njeno trenutno okupacijo Krima.'

Backdoor OpenCarrot ima obsežno paleto nevarnih funkcij

OpenCarrot je zasnovan kot dinamično povezovalna knjižnica (DLL) sistema Windows in ponuja podporo za več kot 25 različnih ukazov. Ti ukazi olajšajo dejavnosti, kot so izvidovanje, manipulacija datotečnih sistemov in procesov ter upravljanje različnih komunikacijskih metod. Širok nabor funkcij, ki jih najdemo v OpenCarrotu, je dovolj, da napadalci vzpostavijo popoln nadzor nad stroji za ogrožanje. Hkrati je akterjem groženj omogočeno, da izvedejo več okužb v lokalnem omrežju žrtve.

Medtem ko poseben pristop, ki je bil uporabljen za vdor v e-poštni strežnik, in zaporedje napadov, uporabljenih za uvedbo OpenCarrot, ostajata nerazkrita, je priznano, da ScarCruft pogosto uporablja taktike socialnega inženiringa v shemah lažnega predstavljanja, da pretenta žrtve in zagotovi stranska vrata, kot je RokRat .

Poleg tega je temeljita analiza napadalne infrastrukture razkrila obstoj dveh domen: centos-packages[.]com in redhat-packages[.]com. Te domene so precej podobne imenom, ki so jih uporabili akterji groženj med vdorom v JumpCloud, ki se je zgodil junija 2023.

OpenCarrot prikazuje redko zbliževanje severnokorejskih APT (Advanced Persistent Threat) skupin

Tako ScarCruft (znan tudi kot APT37) kot skupina Lazarus sta povezani s Severno Korejo. Vendar naj bi ScarCruft spadal v pristojnost Ministrstva za državno varnost (MSS). V nasprotju s tem naj bi skupina Lazarus delovala znotraj Lab 110, frakcije Generalnega izvidniškega urada (RGB), ki služi kot primarna zunanja obveščevalna služba v državi.

Napad OpenCarrot označuje omembe vredno sodelovanje, pri katerem sta dva različna, s Severno Korejo povezana neodvisna grozda dejavnosti groženj usmerila svoja prizadevanja k istemu cilju. To zbliževanje kaže na strateško vohunsko misijo s pomembnimi posledicami, ki naj bi morda koristila spornemu raketnemu programu Severne Koreje.

Dejansko je operacija OpenCarrot prepričljiv primer proaktivnih pobud Severne Koreje za prikrito napredovanje ciljev razvoja raket. To je razvidno iz odločitve o neposrednem kompromisu organizacije, ki velja za ugledno rusko obrambno-industrijsko bazo (DIB).