Porte dérobée OpenCarrot

Des pirates informatiques parrainés par l'État, soupçonnés d'être connectés à la Corée du Nord, ont compromis une infrastructure informatique interne sensible, avec des cas notables, notamment la compromission d'un serveur de messagerie et le déploiement d'une porte dérobée Windows connue sous le nom d'OpenCarrot. Les cyber-attaquants ont spécifiquement ciblé NPO Mashinostroyeniya, une importante société russe d'ingénierie de missiles.

La brèche impliquant le serveur de messagerie Linux a été attribuée au groupe de piratage ScarCruft . Cependant, la porte dérobée de Windows, OpenCarrot, était auparavant associée au groupe Lazarus , les premières attaques l'utilisant ayant été détectées par des experts en cybersécurité à la mi-mai 2022.

Situé à Reutov, NPO Mashinostroyeniya est un bureau de conception de fusées qui fait face à des sanctions du département du Trésor américain depuis juillet 2014. Les sanctions ont été imposées en raison du lien du bureau avec « les tentatives continues de la Russie de déstabiliser l'est de l'Ukraine et son occupation continue de la Crimée ».

La porte dérobée OpenCarrot possède une vaste gamme de fonctions menaçantes

OpenCarrot est conçu comme une bibliothèque de liens dynamiques (DLL) Windows et prend en charge plus de 25 commandes distinctes. Ces commandes facilitent des activités telles que la reconnaissance, la manipulation de systèmes de fichiers et de processus, et la gestion de diverses méthodes de communication. Le large éventail de fonctions trouvées dans OpenCarrot est suffisant pour que les attaquants établissent un contrôle complet sur les machines compromises. Dans le même temps, les acteurs de la menace sont autorisés à effectuer de multiples infections sur le réseau local de la victime.

Bien que l'approche spécifique adoptée pour violer le serveur de messagerie et la séquence d'attaque utilisée pour déployer OpenCarrot ne soient pas divulguées, il est reconnu que ScarCruft utilise fréquemment des tactiques d'ingénierie sociale dans les stratagèmes de phishing pour tromper les victimes et fournir des portes dérobées telles que RokRat .

De plus, une analyse approfondie de l'infrastructure d'attaque a révélé l'existence de deux domaines : centos-packages[.]com et redhat-packages[.]com. Ces domaines présentent une ressemblance significative avec les noms utilisés par les acteurs de la menace lors du piratage JumpCloud qui s'est produit en juin 2023.

OpenCarrot montre une rare convergence des groupes nord-coréens APT (Advanced Persistent Threat)

ScarCruft (également connu sous le nom d'APT37) et le groupe Lazarus partagent des liens avec la Corée du Nord. Cependant, on pense que ScarCruft relève de la compétence du ministère de la Sécurité d'État (MSS). En revanche, le groupe Lazarus opère soi-disant au sein du Lab 110, une faction du Reconnaissance General Bureau (RGB), qui sert de principal service de renseignement étranger du pays.

L'attaque OpenCarrot marque une collaboration remarquable dans laquelle deux groupes distincts d'activités de menace indépendantes liées à la Corée du Nord ont dirigé leurs efforts vers la même cible. Cette convergence suggère une mission d'espionnage stratégique aux implications importantes, éventuellement destinée à profiter au programme de missiles controversé de la Corée du Nord.

En effet, l'opération OpenCarrot est un exemple convaincant des initiatives proactives de la Corée du Nord pour faire progresser subrepticement ses objectifs de développement de missiles. Cela est évident à travers la décision de compromettre directement ce qui est considéré comme une importante organisation russe de base industrielle de défense (DIB).