OpenCarrot แบ็คดอร์

แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐซึ่งเชื่อว่าเชื่อมโยงกับเกาหลีเหนือได้บุกรุกโครงสร้างพื้นฐานด้านไอทีภายในที่ละเอียดอ่อน โดยมีตัวอย่างที่โดดเด่น ได้แก่ การบุกรุกเซิร์ฟเวอร์อีเมลและการติดตั้งแบ็คดอร์ Windows ที่รู้จักกันในชื่อ OpenCarrot ผู้โจมตีทางไซเบอร์มุ่งเป้าไปที่ NPO Mashinostroyeniya ซึ่งเป็นบริษัทวิศวกรรมขีปนาวุธชื่อดังของรัสเซีย

การละเมิดที่เกี่ยวข้องกับเซิร์ฟเวอร์อีเมลของ Linux มีสาเหตุมาจากกลุ่มแฮ็ค ScarCruft อย่างไรก็ตาม OpenCarrot แบ็คดอร์ของ Windows เคยเชื่อมโยงกับ Lazarus Group โดยการโจมตีครั้งแรกโดยใช้การโจมตีนั้นถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในกลางเดือนพฤษภาคม 2565

NPO Mashinostroyeniya ตั้งอยู่ใน Reutov เป็นสำนักออกแบบจรวดที่เผชิญกับการคว่ำบาตรจากกระทรวงการคลังสหรัฐฯ ตั้งแต่เดือนกรกฎาคม 2014 การลงโทษดังกล่าวถูกกำหนดขึ้นเนื่องจากความเชื่อมโยงของสำนักกับ 'ความพยายามอย่างต่อเนื่องของรัสเซียในการทำให้ยูเครนตะวันออกไม่มั่นคงและการยึดครองไครเมียอย่างต่อเนื่อง'

แบ็คดอร์ OpenCarrot มีฟังก์ชันคุกคามมากมาย

OpenCarrot ได้รับการออกแบบให้เป็นไลบรารีลิงก์ไดนามิก (DLL) ของ Windows และให้การสนับสนุนคำสั่งที่แตกต่างกันมากกว่า 25 คำสั่ง คำสั่งเหล่านี้ช่วยอำนวยความสะดวกในกิจกรรมต่างๆ เช่น การลาดตระเวน การจัดการระบบไฟล์และกระบวนการ และการจัดการวิธีการสื่อสารต่างๆ ฟังก์ชันที่หลากหลายที่พบใน OpenCarrot นั้นเพียงพอสำหรับผู้โจมตีในการควบคุมเครื่องประนีประนอมอย่างสมบูรณ์ ในเวลาเดียวกัน ผู้คุกคามสามารถดำเนินการติดไวรัสได้หลายครั้งในเครือข่ายท้องถิ่นของเหยื่อ

แม้ว่าวิธีการเฉพาะเจาะจงในการละเมิดเซิร์ฟเวอร์อีเมลและลำดับการโจมตีที่ใช้ในการปรับใช้ OpenCarrot ยังไม่เปิดเผย เป็นที่ทราบกันดีว่า ScarCruft มักใช้กลยุทธ์ทางวิศวกรรมสังคมในรูปแบบฟิชชิ่งเพื่อหลอกลวงเหยื่อและส่งแบ็คดอร์ เช่น RokRat

นอกจากนี้ การวิเคราะห์อย่างละเอียดเกี่ยวกับโครงสร้างพื้นฐานของการโจมตีได้เปิดเผยการมีอยู่ของสองโดเมน: centos-packages[.]com และ redhat-packages[.]com โดเมนเหล่านี้มีความคล้ายคลึงกันอย่างมากกับชื่อที่ผู้คุกคามใช้ระหว่างการแฮ็ค JumpCloud ที่เกิดขึ้นในเดือนมิถุนายน 2566

OpenCarrot แสดงการบรรจบกันที่หายากของกลุ่ม APT (ภัยคุกคามขั้นสูงแบบถาวร) ของเกาหลีเหนือ

ทั้ง ScarCruft (หรือที่เรียกว่า APT37) และ Lazarus Group มีสายสัมพันธ์กับเกาหลีเหนือ อย่างไรก็ตาม เชื่อว่า ScarCruft อยู่ภายใต้การควบคุมดูแลของกระทรวงความมั่นคงแห่งรัฐ (MSS) ในทางตรงกันข้าม Lazarus Group ควรจะดำเนินงานภายใน Lab 110 ซึ่งเป็นแผนกหนึ่งของสำนักงานลาดตระเวนทั่วไป (RGB) ซึ่งทำหน้าที่เป็นหน่วยข่าวกรองต่างประเทศหลักของประเทศ

การโจมตี OpenCarrot นับเป็นความร่วมมือที่น่าจดจำ โดยกลุ่มกิจกรรมภัยคุกคามอิสระ 2 กลุ่มที่เชื่อมโยงกับเกาหลีเหนือที่แตกต่างกันได้มุ่งความพยายามไปที่เป้าหมายเดียวกัน การบรรจบกันนี้ชี้ให้เห็นถึงภารกิจจารกรรมเชิงกลยุทธ์ที่มีนัยยะสำคัญ ซึ่งอาจมีวัตถุประสงค์เพื่อเป็นประโยชน์ต่อโครงการขีปนาวุธที่เป็นที่ถกเถียงของเกาหลีเหนือ

แท้จริงแล้ว ปฏิบัติการ OpenCarrot เป็นตัวอย่างที่น่าสนใจของการริเริ่มเชิงรุกของเกาหลีเหนือในการเลื่อนวัตถุประสงค์การพัฒนาขีปนาวุธอย่างลับๆล่อๆ สิ่งนี้เห็นได้จากการตัดสินใจที่จะประนีประนอมโดยตรงกับสิ่งที่ถือว่าเป็นองค์กรป้องกันฐานอุตสาหกรรมของรัสเซีย (DIB) ที่โดดเด่น