ஓபன் கேரட் பின்கதவு

வட கொரியாவுடன் இணைக்கப்பட்டதாக நம்பப்படும் அரசு-உதவி பெற்ற ஹேக்கர்கள் முக்கியமான உள் IT உள்கட்டமைப்பை சமரசம் செய்துள்ளனர், இதில் குறிப்பிடத்தக்க நிகழ்வுகள் மின்னஞ்சல் சர்வரின் சமரசம் மற்றும் OpenCarrot எனப்படும் Windows பின்கதவின் வரிசைப்படுத்தல் ஆகியவை அடங்கும். சைபர் தாக்குதல் நடத்தியவர்கள் குறிப்பாக ரஷ்ய ஏவுகணை பொறியியல் நிறுவனமான NPO Mashinostroyeniya ஐ குறிவைத்தனர்.

லினக்ஸ் மின்னஞ்சல் சேவையகம் சம்பந்தப்பட்ட மீறல் ScarCruft என்ற ஹேக்கிங் குழுவிற்குக் காரணம். இருப்பினும், Windows backdoor, OpenCarrot, முன்பு Lazarus குழுவுடன் தொடர்புடையது, மே 2022 நடுப்பகுதியில் சைபர் செக்யூரிட்டி வல்லுனர்களால் கண்டறியப்பட்ட முதல் தாக்குதல்களுடன்.

Reutov இல் அமைந்துள்ள NPO Mashinostroyeniya ஒரு ராக்கெட் வடிவமைப்பு பணியகமாகும், இது ஜூலை 2014 முதல் அமெரிக்க கருவூலத் துறையின் தடைகளை எதிர்கொண்டது. 'கிழக்கு உக்ரைனை சீர்குலைக்கும் ரஷ்யாவின் தொடர்ச்சியான முயற்சிகள் மற்றும் அதன் தற்போதைய ஆக்கிரமிப்பு ஆகியவற்றுடன்' பணியகத்தின் தொடர்பு காரணமாக தடைகள் விதிக்கப்பட்டன.

OpenCarrot பின்கதவு அச்சுறுத்தும் செயல்பாடுகளின் விரிவான வரிசையைக் கொண்டுள்ளது

OpenCarrot ஆனது Windows dynamic-link library (DLL) ஆக வடிவமைக்கப்பட்டுள்ளது மற்றும் 25 க்கும் மேற்பட்ட தனித்துவமான கட்டளைகளுக்கு ஆதரவை வழங்குகிறது. இந்த கட்டளைகள் உளவு பார்த்தல், கோப்பு முறைமைகள் மற்றும் செயல்முறைகளை கையாளுதல் மற்றும் பல்வேறு தொடர்பு முறைகளை நிர்வகித்தல் போன்ற செயல்பாடுகளை எளிதாக்குகின்றன. OpenCarrot இல் காணப்படும் பரந்த அளவிலான செயல்பாடுகள் தாக்குபவர்களுக்கு சமரச இயந்திரங்களின் மீது முழுமையான கட்டுப்பாட்டை ஏற்படுத்த போதுமானது. அதே நேரத்தில், அச்சுறுத்தல் நடிகர்கள் பாதிக்கப்பட்டவரின் உள்ளூர் நெட்வொர்க்கில் பல நோய்த்தொற்றுகளை மேற்கொள்ள முடியும்.

மின்னஞ்சல் சேவையகத்தை மீறுவதற்கு எடுக்கப்பட்ட குறிப்பிட்ட அணுகுமுறை மற்றும் OpenCarrot பயன்படுத்தப்படும் தாக்குதல் வரிசை ஆகியவை வெளியிடப்படவில்லை என்றாலும், ScarCruft அடிக்கடி ஃபிஷிங் திட்டங்களில் சமூக பொறியியல் தந்திரங்களை பயன்படுத்தி பாதிக்கப்பட்டவர்களை ஏமாற்றவும், RokRat போன்ற பின்கதவுகளை வழங்கவும் பயன்படுத்துகிறது என்பது ஒப்புக்கொள்ளப்பட்டது.

மேலும், தாக்குதல் உள்கட்டமைப்பின் முழுமையான பகுப்பாய்வு இரண்டு டொமைன்களின் இருப்பை வெளிப்படுத்தியுள்ளது: centos-packages[.]com மற்றும் redhat-packages[.]com. இந்த டொமைன்கள் ஜூன் 2023 இல் ஜம்ப்க்ளூட் ஹேக்கின் போது அச்சுறுத்தல் நடிகர்களால் பயன்படுத்தப்பட்ட பெயர்களுடன் குறிப்பிடத்தக்க ஒற்றுமையைக் கொண்டுள்ளன.

OpenCarrot வட கொரிய APT (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) குழுக்களின் ஒரு அரிய ஒருங்கிணைப்பைக் காட்டுகிறது

ScarCruft (APT37 என்றும் அழைக்கப்படுகிறது) மற்றும் லாசரஸ் குழுமம் இரண்டும் வட கொரியாவுடன் உறவுகளைப் பகிர்ந்து கொள்கின்றன. இருப்பினும், ScarCruft மாநில பாதுகாப்பு அமைச்சகத்தின் (MSS) கீழ் வரும் என நம்பப்படுகிறது. இதற்கு நேர்மாறாக, லாசரஸ் குழுமம் லேப் 110 க்குள் செயல்படுவதாகக் கூறப்படுகிறது, இது நாட்டின் முதன்மை வெளிநாட்டு உளவுத்துறை சேவையாக செயல்படும் ரீகனைசன்ஸ் ஜெனரல் பீரோவின் (RGB) ஒரு பிரிவாகும்.

OpenCarrot தாக்குதல் குறிப்பிடத்தக்க ஒத்துழைப்பைக் குறிக்கிறது, இதில் இரண்டு தனித்துவமான வட கொரியா-இணைக்கப்பட்ட சுயாதீன அச்சுறுத்தல் நடவடிக்கை கிளஸ்டர்கள் ஒரே இலக்கை நோக்கி தங்கள் முயற்சிகளை இயக்கியுள்ளன. இந்த ஒருங்கிணைப்பு, வட கொரியாவின் சர்ச்சைக்குரிய ஏவுகணை திட்டத்திற்கு பயனளிக்கும் வகையில், குறிப்பிடத்தக்க தாக்கங்களைக் கொண்ட ஒரு மூலோபாய உளவு பணியை பரிந்துரைக்கிறது.

உண்மையில், OpenCarrot நடவடிக்கையானது வட கொரியாவின் ஏவுகணை மேம்பாட்டு நோக்கங்களை மறைமுகமாக முன்னெடுத்துச் செல்வதற்கான செயலூக்கமான முன்முயற்சிகளுக்கு ஒரு நிர்ப்பந்தமான எடுத்துக்காட்டு. ஒரு முக்கிய ரஷ்ய பாதுகாப்பு-தொழில்துறை தளம் (DIB) அமைப்பாகக் கருதப்படுவதை நேரடியாக சமரசம் செய்வதற்கான முடிவின் மூலம் இது தெளிவாகிறது.