Puerta trasera OpenCarrot

Los piratas informáticos patrocinados por el estado que se cree que están conectados con Corea del Norte han comprometido la infraestructura de TI interna confidencial, con casos notables que incluyen el compromiso de un servidor de correo electrónico y la implementación de una puerta trasera de Windows conocida como OpenCarrot. Los atacantes cibernéticos se dirigieron específicamente a NPO Mashinostroyeniya, una destacada empresa rusa de ingeniería de misiles.

La brecha que involucra el servidor de correo electrónico de Linux ha sido atribuida al grupo de hackers ScarCruft . Sin embargo, la puerta trasera de Windows, OpenCarrot, se ha asociado previamente con el Grupo Lazarus , y los primeros ataques que la utilizan fueron detectados por expertos en ciberseguridad a mediados de mayo de 2022.

Ubicada en Reutov, NPO Mashinostroyeniya es una oficina de diseño de cohetes que ha enfrentado sanciones del Departamento del Tesoro de EE. UU. desde julio de 2014. Las sanciones se impusieron debido a la conexión de la oficina con "los continuos intentos de Rusia de desestabilizar el este de Ucrania y su ocupación en curso de Crimea".

La puerta trasera OpenCarrot posee una amplia gama de funciones amenazantes

OpenCarrot está diseñado como una biblioteca de enlace dinámico (DLL) de Windows y ofrece soporte para más de 25 comandos distintos. Estos comandos facilitan actividades como el reconocimiento, la manipulación de sistemas y procesos de archivos y la gestión de varios métodos de comunicación. La amplia gama de funciones que se encuentran en OpenCarrot son suficientes para que los atacantes establezcan un control completo sobre las máquinas comprometidas. Al mismo tiempo, los actores de amenazas pueden realizar múltiples infecciones en la red local de la víctima.

Si bien el enfoque específico adoptado para violar el servidor de correo electrónico y la secuencia de ataque utilizada para implementar OpenCarrot siguen sin revelarse, se reconoce que ScarCruft utiliza con frecuencia tácticas de ingeniería social en esquemas de phishing para engañar a las víctimas y entregar puertas traseras como RokRat .

Además, un análisis exhaustivo de la infraestructura de ataque ha revelado la existencia de dos dominios: centos-packages[.]com y redhat-packages[.]com. Estos dominios tienen un parecido significativo con los nombres utilizados por los actores de amenazas durante el hackeo de JumpCloud que ocurrió en junio de 2023.

OpenCarrot muestra una rara convergencia de grupos APT (amenazas persistentes avanzadas) de Corea del Norte

Tanto ScarCruft (también conocido como APT37) como Lazarus Group comparten vínculos con Corea del Norte. Sin embargo, se cree que ScarCruft está bajo el control del Ministerio de Seguridad del Estado (MSS). En contraste, el Grupo Lazarus supuestamente opera dentro del Laboratorio 110, una facción de la Oficina General de Reconocimiento (RGB), que sirve como el principal servicio de inteligencia exterior del país.

El ataque OpenCarrot marca una colaboración notable en la que dos grupos de actividad de amenazas independientes distintos vinculados a Corea del Norte han dirigido sus esfuerzos hacia el mismo objetivo. Esta convergencia sugiere una misión de espionaje estratégico con implicaciones significativas, posiblemente con la intención de beneficiar el polémico programa de misiles de Corea del Norte.

De hecho, la operación OpenCarrot sirve como un ejemplo convincente de las iniciativas proactivas de Corea del Norte para avanzar subrepticiamente en sus objetivos de desarrollo de misiles. Esto es evidente a través de la decisión de comprometer directamente lo que se considera una organización prominente de la Base Industrial de Defensa Rusa (DIB).