Finansowana przez państwo grupa hakerska ScarCruft z Korei Północnej została powiązana z atakiem cybernetycznym, który skierowano na systemy informatyczne i serwer poczty elektronicznej organizacji NPO Mashinostroyeniya. Ta rosyjska instytucja zajmuje się projektowaniem rakiet kosmicznych oraz technologii międzykontynentalnych pocisków balistycznych. Produkuje także statki kosmiczne oraz taktyczne pociski obronne i ofensywne, które służą armiom Rosji i Indii. Od 2014 roku Departament Skarbu USA (OFAC) nałożył sankcje na NPO Mashinostroyeniya w związku z jej zaangażowaniem i rolą w konflikcie rosyjsko-ukraińskim.
Wczoraj firma SentinelLabs podała do wiadomości, iż to właśnie ScarCruft jest odpowiedzialna za wtargnięcie do systemu poczty elektronicznej oraz sieci komputerowej NPO Mashinostroyeniya. W trakcie tego ataku, hakerzy zainstalowali tylną furtkę w systemie Windows o nazwie “OpenCarrot”, umożliwiającą im zdalny dostęp do sieci organizacji.
Chociaż celem ataku pozostają niewyjaśnione, ScarCruft (znana także jako APT37) jest znaną grupą hakerską, której działania skupiają się na inwigilacji i kradzieży danych w ramach różnych kampanii cybernetycznych.
Ujawnienie naruszenia zabezpieczeń nastąpiło po przeanalizowaniu przecieku wiadomości e-mail pochodzących od NPO Mashinostroyeniya. Te wiadomości zawierały poufne informacje, w tym raport od personelu IT ostrzegający o potencjalnym incydencie związanym z cyberbezpieczeństwem w połowie maja 2022 roku. Dzięki tym danym, firma SentinelLabs przeprowadziła dochodzenie i odkryła znacznie poważniejsze naruszenie niż początkowo przypuszczano przez producenta rakiet. Według przeciekłych wiadomości e-mail, personel IT NPO Mashinostroyeniya dyskutował na temat podejrzanej komunikacji sieciowej między wewnętrznymi procesami a zewnętrznymi serwerami. To w końcu doprowadziło do odkrycia złośliwej biblioteki DLL zainstalowanej w systemach wewnętrznych, co skłoniło firmę do skontaktowania się z producentem systemu antywirusowego, by dowiedzieć się, jak doszło do infekcji.
Niepowiązana próbka z e-maili, które wyciekły Źródło: SentinelLabs
Przeanalizowanie adresów IP i innych wskaźników naruszenia (IOC) zawartych w wiadomościach e-mail pozwoliło firmie SentinelLabs ustalić, iż rosyjska organizacja została zainfekowana dzięki backdoora Windows o nazwie “OpenCarrot”. “OpenCarrot” to zaawansowane oprogramowanie typu backdoor, które wcześniej było kojarzone z inną grupą hakerską z Korei Północnej, znaną jako Lazarus Group.
Chociaż nie jest pewne, czy ScarCruft i Lazarus współpracowały, hakerzy z Korei Północnej często korzystają z podobnych narzędzi i taktyk, co inne grupy działające z poparciem państwa w tym kraju. Wersja “OpenCarrot” wykorzystana w tym konkretnym ataku została wdrożona jako plik DLL, który obsługuje komunikację proxy przez wewnętrzne hosty sieciowe.
Backdoor ten obsługuje łącznie 25 poleceń, w tym:
- Rozpoznanie: zbieranie informacji o plikach i procesach, skanowanie oraz pingowanie ICMP hostów w celu wykrycia otwartych portów TCP i dostępności.
- Manipulacja plikami i procesami systemowymi: zamykanie procesów, wstrzykiwanie plików DLL, usuwanie plików, zmiana nazw i znaczników czasu.
- Rekonfiguracja i komunikacja: zarządzanie komunikacją C2, w tym zamykanie istniejących i tworzenie nowych kanałów komunikacyjnych, zmiana ustawień konfiguracyjnych złośliwego systemu przechowywanych w systemie plików oraz przekazywanie połączeń sieciowych.
- Gdy uprawnieni użytkownicy zaatakowanych urządzeń stają się aktywni, “OpenCarrot” automatycznie przechodzi w stan uśpienia i co 15 sekund sprawdza, czy nie podłączono nowych napędów USB, które mogą posłużyć do ruchu bocznego.
Jednocześnie firma SentinelLabs wykryła podejrzany ruch pochodzący z serwera poczty e-mail ofiary na systemie Linux. Ten serwer wysyłał sygnały do infrastruktury ScarCruft. Analitycy przez cały czas analizują sposób ataku, jednakże istnieje podejrzenie, iż wykorzystano charakterystyczny backdoor o nazwie RokRAT.
SentinelLabs sugeruje, iż zaangażowanie dwóch grup hakerskich wspieranych przez państwo może wskazywać na celową strategię Korei Północnej, która może kontrolować obie te grupy. Rozpraszając atak na NPO Mashinostroyeniya pomiędzy różne aktorów, prawdopodobnie postrzeganych jako istotny cel szpiegowski, państwo mogło dążyć do zwiększenia prawdopodobieństwa udanego ataku.
