OpenCarrot Backdoor

Hakerat e sponsorizuar nga shteti që besohet se janë të lidhur me Korenë e Veriut kanë komprometuar infrastrukturën e brendshme të ndjeshme të TI-së, me raste të dukshme duke përfshirë kompromisin e një serveri emaili dhe vendosjen e një dere të pasme të Windows të njohur si OpenCarrot. Sulmuesit kibernetikë shënjestruan në mënyrë specifike NPO Mashinostroyeniya, një kompani e njohur ruse e inxhinierisë raketore.

Shkelja që përfshin serverin e emailit Linux i është atribuar grupit të hakerëve ScarCruft . Sidoqoftë, porta e pasme e Windows, OpenCarrot, ka qenë e lidhur më parë me Grupin Lazarus , me sulmet e para duke e përdorur atë, të zbuluar nga ekspertët e sigurisë kibernetike në mesin e majit 2022.

E vendosur në Reutov, NPO Mashinostroyeniya është një zyrë projektimi raketash që është përballur me sanksione nga Departamenti i Thesarit i SHBA-së që nga korriku 2014. Sanksionet u vendosën për shkak të lidhjes së byrosë me "përpjekjet e vazhdueshme të Rusisë për të destabilizuar Ukrainën lindore dhe pushtimin e saj të vazhdueshëm të Krimesë".

OpenCarrot Backdoor posedon një sërë funksionesh kërcënuese

OpenCarrot është projektuar si një bibliotekë me lidhje dinamike të Windows (DLL) dhe ofron mbështetje për më shumë se 25 komanda të ndryshme. Këto komanda lehtësojnë aktivitete të tilla si zbulimi, manipulimi i sistemeve dhe proceseve të skedarëve dhe menaxhimi i metodave të ndryshme të komunikimit. Gama e gjerë e funksioneve të gjetura në OpenCarrot janë të mjaftueshme që sulmuesit të vendosin kontroll të plotë mbi makinat e kompromisit. Në të njëjtën kohë, aktorëve të kërcënimit u mundësohet të kryejnë infeksione të shumta në rrjetin lokal të viktimës.

Ndërsa qasja specifike e ndërmarrë për të shkelur serverin e postës elektronike dhe sekuenca e sulmit të përdorur për vendosjen e OpenCarrot mbeten të pazbuluara, pranohet se ScarCruft shpesh përdor taktikat e inxhinierisë sociale në skemat e phishing për të mashtruar viktimat dhe për të ofruar prapambetje si RokRat .

Për më tepër, një analizë e plotë e infrastrukturës së sulmit ka zbuluar ekzistencën e dy domeneve: centos-packages[.]com dhe redhat-packages[.]com. Këto domene kanë një ngjashmëri të konsiderueshme me emrat e përdorur nga aktorët e kërcënimit gjatë hakimit të JumpCloud që ndodhi në qershor 2023.

OpenCarrot tregon një konvergjencë të rrallë të grupeve APT (Kërcënim të Përparuar të Përparuar) të Koresë së Veriut

Të dy ScarCruft (i njohur gjithashtu si APT37) dhe Grupi Lazarus ndajnë lidhje me Korenë e Veriut. Megjithatë, ScarCruft besohet se bie nën kompetencën e Ministrisë së Sigurimit të Shtetit (MSS). Në të kundërt, Grupi Lazarus supozohet se operon brenda Lab 110, një fraksion i Byrosë së Përgjithshme të Zbulimit (RGB), i cili shërben si shërbimi kryesor i inteligjencës së jashtme të vendit.

Sulmi OpenCarrot shënon një bashkëpunim të rëndësishëm ku dy grupime të dallueshme të aktivitetit të kërcënimeve të pavarura të lidhura me Korenë e Veriut kanë drejtuar përpjekjet e tyre drejt të njëjtit objektiv. Kjo konvergjencë sugjeron një mision strategjik spiunazhi me implikime të rëndësishme, që ndoshta synon të përfitojë programin e diskutueshëm raketor të Koresë së Veriut.

Në të vërtetë, operacioni OpenCarrot shërben si një shembull bindës i iniciativave proaktive të Koresë së Veriut për të çuar përpara objektivat e saj të zhvillimit të raketave në mënyrë të fshehtë. Kjo është e dukshme përmes vendimit për të kompromentuar drejtpërdrejt atë që konsiderohet të jetë një organizatë e shquar e Bazës Mbrojtëse-Industriale Ruse (DIB).