ОпенЦаррот Бацкдоор

Хакери које спонзорише држава за које се верује да су повезани са Северном Корејом угрозили су осетљиву интерну ИТ инфраструктуру, са значајним случајевима укључујући компромитовање сервера е-поште и примену Виндовс бацкдоор-а познатог као ОпенЦаррот. Сајбер нападачи су посебно циљали НПО Машиностројенија, истакнуту руску компанију за пројектовање ракета.

Кршење које укључује Линук сервер е-поште приписано је хакерској групи СцарЦруфт . Међутим, Виндовс бацкдоор, ОпенЦаррот, је раније био повезан са Лазарус групом , а прве нападе који су користили открили су стручњаци за сајбер безбедност средином маја 2022.

Смештена у Реутову, НПО Машиностројенија је биро за пројектовање ракета који се суочава са санкцијама америчког Министарства финансија од јула 2014. Санкције су уведене због повезаности бироа са „настављеним покушајима Русије да дестабилизује источну Украјину и њеном текућом окупацијом Крима.

ОпенЦаррот Бацкдоор поседује широку лепезу претећих функција

ОпенЦаррот је дизајниран као Виндовс библиотека динамичке везе (ДЛЛ) и нуди подршку за више од 25 различитих команди. Ове команде олакшавају активности као што су извиђање, манипулација датотечним системима и процесима, и управљање различитим методама комуникације. Широк спектар функција које се налазе у ОпенЦаррот-у довољан је да нападачи успоставе потпуну контролу над компромитованим машинама. У исто време, актерима претњи је омогућено да изврше вишеструке инфекције широм локалне мреже жртве.

Иако специфични приступ који је предузет да се пробије сервер е-поште и секвенца напада која се користи за имплементацију ОпенЦаррот-а остају неоткривени, познато је да СцарЦруфт често користи тактику друштвеног инжењеринга у пхисхинг шемама како би преварио жртве и испоручио бацкдоор као што је РокРат .

Штавише, детаљна анализа инфраструктуре напада открила је постојање два домена: центос-пацкагес[.]цом и редхат-пацкагес[.]цом. Ови домени имају значајну сличност са именима која су користили актери претњи током хаковања ЈумпЦлоуд који се догодио у јуну 2023.

ОпенЦаррот показује ретку конвергенцију севернокорејских група АПТ (напредне трајне претње)

И СцарЦруфт (познат и као АПТ37) и Лазарус група деле везе са Северном Корејом. Међутим, верује се да СцарЦруфт спада у надлежност Министарства државне безбедности (МСС). Насупрот томе, Лазарус група наводно делује у оквиру Лабораторије 110, фракције Генералног извиђачког бироа (РГБ), која служи као примарна страна обавештајна служба у земљи.

Напад ОпенЦаррот означава значајну сарадњу у којој су две различите независне групе претњи повезане са Северном Корејом усмериле своје напоре ка истом циљу. Ова конвергенција сугерише стратешку шпијунску мисију са значајним импликацијама, која је вероватно намењена да користи спорном ракетном програму Северне Кореје.

Заиста, операција ОпенЦаррот служи као убедљив пример проактивних иницијатива Северне Кореје да тајно унапреди своје циљеве развоја ракета. Ово је очигледно кроз одлуку да се директно компромитује оно што се сматра истакнутом организацијом руске одбрамбено-индустријске базе (ДИБ).