Το OpenCarrot Backdoor αναπτύχθηκε από τους Βορειοκορεάτες Threat Actors

Δύο ξεχωριστές ομάδες εθνικών κρατών που προέρχονται από τη Βόρεια Κορέα έχουν συσχετιστεί με μια εισβολή στον κυβερνοχώρο με στόχο την NPO Mashinostroyeniya, μια σημαντική ρωσική εταιρεία που ειδικεύεται στη μηχανική πυραύλων.

Σύμφωνα με την SentinelOne, μια εταιρεία κυβερνοασφάλειας, έχουν εντοπίσει «δύο περιπτώσεις συμβιβασμού στον κυβερνοχώρο που σχετίζονται με τη Βόρεια Κορέα που αφορούν ευαίσθητα εσωτερικά συστήματα πληροφορικής». Αυτές οι περιπτώσεις περιλαμβάνουν ένα περιστατικό που περιλαμβάνει τον συμβιβασμό ενός διακομιστή email και την εισαγωγή μιας κερκόπορτας των Windows με την ένδειξη OpenCarrot.

OpenCarrot's Complex Attribution

Η παραβίαση του διακομιστή email που βασίζεται σε Linux έχει αποδοθεί στο ScarCruft. Από την άλλη πλευρά, το εμφύτευμα OpenCarrot έχει συνδεθεί στο παρελθόν με τον Όμιλο Lazarus, έναν καθιερωμένο παράγοντα σε αυτό το βασίλειο. Αυτές οι επιθέσεις σημειώθηκαν στα μέσα Μαΐου του 2022.
Το NPO Mashinostroyeniya, που βρίσκεται στο Reutov, είναι ένα γραφείο σχεδιασμού που ειδικεύεται στους πυραύλους. Υπέστη κυρώσεις από το Υπουργείο Οικονομικών των ΗΠΑ τον Ιούλιο του 2014. Αυτά τα μέτρα λήφθηκαν λόγω της σύνδεσής του με τις «συνεχείς προσπάθειες της Ρωσίας να αποσταθεροποιήσει την ανατολική Ουκρανία και τη συνεχιζόμενη κατοχή της Κριμαίας».

Αν και η ScarCruft (επίσης γνωστή ως APT37) και ο Όμιλος Lazarus μοιράζονται δεσμούς με τη Βόρεια Κορέα, αξίζει να τονιστεί ότι η ScarCruft υπάγεται στην εποπτεία του Υπουργείου Κρατικής Ασφάλειας (MSS). Αντίθετα, η ομάδα Lazarus δραστηριοποιείται στο Lab 110, ένα τμήμα του Γενικού Γραφείου Αναγνώρισης (RGB), το οποίο χρησιμεύει ως η κύρια υπηρεσία ξένων πληροφοριών της Βόρειας Κορέας.

Οι δυνατότητες του OpenCarrot

Το εργαλείο OpenCarrot εκτελείται ως βιβλιοθήκη δυναμικής σύνδεσης (DLL) για Windows και υποστηρίζει μια ποικιλία από περισσότερες από 25 εντολές. Αυτές οι εντολές διευκολύνουν εργασίες όπως αναγνώριση, χειρισμό συστημάτων αρχείων και διαδικασιών και διαχείριση πολλαπλών μεθόδων επικοινωνίας.

Η ακριβής τεχνική που χρησιμοποιείται για την παραβίαση του διακομιστή email, καθώς και η σειρά ενεργειών που χρησιμοποιήθηκαν για την παράδοση του OpenCarrot, παραμένει άγνωστη. Ωστόσο, είναι γνωστό ότι το ScarCruft συχνά χρησιμοποιεί τακτικές κοινωνικής μηχανικής για να εξαπατήσει τα θύματα και να εισάγει κερκόπορτες όπως το RokRat.

Επιπλέον, μετά από προσεκτικότερη εξέταση της υποδομής επίθεσης, εντοπίστηκαν δύο τομείς: centos-packages[.]com και redhat-packages[.]com. Εντυπωσιακά, αυτοί οι τομείς μοιράζονται ομοιότητες με τα ονόματα που χρησιμοποιήθηκαν από τους φορείς απειλών κατά τη διάρκεια της εισβολής του JumpCloud που έλαβε χώρα τον Ιούνιο του 2023.