Mở cửa hậu cà rốt

Các tin tặc do nhà nước bảo trợ được cho là có liên hệ với Triều Tiên đã xâm phạm cơ sở hạ tầng CNTT nội bộ nhạy cảm, với các trường hợp đáng chú ý bao gồm xâm phạm máy chủ email và triển khai cửa hậu Windows được gọi là OpenCarrot. Những kẻ tấn công mạng đã nhắm mục tiêu cụ thể vào NPO Mashinostroyeniya, một công ty kỹ thuật tên lửa nổi tiếng của Nga.

Vi phạm liên quan đến máy chủ email Linux đã được quy cho nhóm hack ScarCruft . Tuy nhiên, cửa hậu Windows, OpenCarrot, trước đây đã được liên kết với Lazarus Group , với các cuộc tấn công đầu tiên sử dụng nó đã được các chuyên gia an ninh mạng phát hiện vào giữa tháng 5 năm 2022.

Nằm ở Reutov, NPO Mashinostroyeniya là một văn phòng thiết kế tên lửa đã phải đối mặt với các lệnh trừng phạt từ Bộ Tài chính Hoa Kỳ kể từ tháng 7 năm 2014. Các lệnh trừng phạt được áp dụng do văn phòng này có liên quan đến 'những nỗ lực liên tục của Nga nhằm gây bất ổn ở miền đông Ukraine và việc nước này đang tiếp tục chiếm đóng Crimea'.

OpenCarrot Backdoor sở hữu một loạt các chức năng đe dọa

OpenCarrot được thiết kế như một thư viện liên kết động Windows (DLL) và cung cấp hỗ trợ cho hơn 25 lệnh riêng biệt. Các lệnh này tạo điều kiện thuận lợi cho các hoạt động như trinh sát, thao tác với các quy trình và hệ thống tệp cũng như quản lý các phương thức giao tiếp khác nhau. Một loạt các chức năng được tìm thấy trong OpenCarrot đủ để kẻ tấn công thiết lập quyền kiểm soát hoàn toàn đối với các máy thỏa hiệp. Đồng thời, các tác nhân đe dọa được kích hoạt để thực hiện nhiều lần lây nhiễm trên mạng cục bộ của nạn nhân.

Mặc dù cách tiếp cận cụ thể được thực hiện để xâm phạm máy chủ email và trình tự tấn công được sử dụng để triển khai OpenCarrot vẫn chưa được tiết lộ, nhưng người ta thừa nhận rằng ScarCruft thường sử dụng các chiến thuật kỹ thuật xã hội trong các âm mưu lừa đảo để lừa nạn nhân và cung cấp các cửa hậu như RokRat .

Hơn nữa, một phân tích kỹ lưỡng về cơ sở hạ tầng tấn công đã tiết lộ sự tồn tại của hai miền: centos-packages[.]com và redhat-packages[.]com. Các miền này có sự tương đồng đáng kể với tên được các tác nhân đe dọa sử dụng trong vụ hack JumpCloud xảy ra vào tháng 6 năm 2023.

OpenCarrot cho thấy sự hội tụ hiếm hoi của các nhóm APT (Mối đe dọa dai dẳng nâng cao) của Bắc Triều Tiên

Cả ScarCruft (còn được gọi là APT37) và Tập đoàn Lazarus đều có mối quan hệ với Triều Tiên. Tuy nhiên, ScarCruft được cho là thuộc phạm vi quản lý của Bộ An ninh Quốc gia (MSS). Ngược lại, Nhóm Lazarus được cho là hoạt động trong Phòng thí nghiệm 110, một nhánh của Tổng cục Trinh sát (RGB), cơ quan đóng vai trò là cơ quan tình báo nước ngoài chính của đất nước.

Cuộc tấn công OpenCarrot đánh dấu một sự hợp tác đáng chú ý trong đó hai cụm hoạt động đe dọa độc lập có liên kết với Bắc Triều Tiên đã hướng các nỗ lực của họ tới cùng một mục tiêu. Sự hội tụ này cho thấy một nhiệm vụ gián điệp chiến lược có ý nghĩa quan trọng, có thể nhằm mang lại lợi ích cho chương trình tên lửa gây tranh cãi của Triều Tiên.

Thật vậy, hoạt động OpenCarrot đóng vai trò là một ví dụ hấp dẫn về các sáng kiến chủ động của Triều Tiên nhằm thúc đẩy các mục tiêu phát triển tên lửa của nước này một cách lén lút. Điều này thể hiện rõ qua quyết định thỏa hiệp trực tiếp với tổ chức được coi là Tổ chức Cơ sở Công nghiệp-Quốc phòng (DIB) nổi bật của Nga.