קבוצת ההאקרים ScarCruft הפועלת בחסות צפון קוריאה, נקשרה לאחרונה למתקפת סייבר על תשתית ה- IT ושרת הדואר האלקטרוני של חברת NPO Mashinostroyeniya – חברה להנדסת טילים בליסטיים בין יבשתיים. NPO Mashinostroyeniya הינה מעצבת ויצרנית רוסית של חלליות וטילי הגנה ותקיפה טקטיים המשמשים את צבאות רוסיה והודו. משרד האוצר האמריקני הטיל סנקציות על החברה מאז 2014 על תרומתה ותפקידה במלחמת רוסיה-אוקראינה.
חברת אבטחת הסייבר SentinelLabs דיווחה שקבוצת ScarCruft עומדת מאחורי פריצה לשרת הדואר האלקטרוני של NPO Mashinostroyeniya ולמערכות ה- IT שלה, שם הציבו ההאקרים דלת אחורית של Windows בשם OpenCarrot לגישה מרחוק לרשת. בעוד שהמטרה העיקרית של המתקפה אינה ברורה, ידועה ScarCruft כקבוצת ריגול סייבר הגונבת נתונים מארגונים כחלק ממתקפות הסייבר שלה. מנתחי אבטחת הסייבר גילו את הפרצה לאחר ניתוח דלף דוא"ל מ- NPO Mashinostroyeniya שהכיל תקשורת חסויה ביותר, כולל דיווח של צוות IT שהזהיר מפני אירוע אבטחת סייבר פוטנציאלי באמצע מאי 2022. SentinelLabs מינפה את המידע במיילים הללו כדי לבצע חקירה וגילתה פריצה משמעותית הרבה יותר ממה שהבינה יצרנית הטילים. לפי האימיילים שהודלפו, קיים צוות ה-IT של NPO Mashinostroyeniya דיון אודות תקשורת חשודה ברשת בין תהליכים הפועלים במכשירים פנימיים לבין שרתים חיצוניים. הדבר הוביל בסופו של דבר לכך שהחברה מצאה DLL זדוני המותקן במערכות מחשוב פנימיות, מה שגרם להם לבדוק מיידית מול חברת האנטי-וירוס שלהם כדי להבין כיצד הם נדבקו. לאחר ניתוח כתובות ה- IP ואינדיקטורים אחרים של פריצה שנמצאו בהודעות האימייל, קבעה SentinelLabs שיצרנית הטילים הרוסית נגועה בדלת האחורית של Windows OpenCarrot.
OpenCarrot הינה נוזקת דלת אחורית שהייתה בשימוש קבוצת פריצה צפון קוריאנית אחרת – קבוצת Lazarus. לא ברור אם קיים שיתוף פעולה בין ScarCruft ו- Lazarus, אך אין זה נדיר שהאקרים צפון קוריאנים משתמשים בכלים וטקטיקות החופפות לאלו של פושעי סייבר קוריאנים אחרים. הגרסה של OpenCarrot אשר שימשה במתקפת סייבר זו יושמה כקובץ DLL התומך בתקשורת פרוקסי דרך מארחי רשת פנימיים. הדלת האחורית תומכת בסך הכל ב- 25 פקודות, לרבות סיור: ספירת תכונות קבצים ותהליכים, סריקה ו- ICMP-pinging מארחים בטווחי IP עבור יציאות TCP פתוחות וזמינות; מניפולציה של מערכת קבצים ותהליכים: סיום תהליך, הזרקת DLL, מחיקת קבצים, שינוי שם והחתמת זמן; הגדרה מחדש וקישוריות: ניהול תקשורת C2 כולל סיום והקמת ערוצי תקשורת חדשים, שינוי נתוני תצורת נוזקות המאוחסנות במערכת הקבצים והעברת חיבורי רשת. יש לציין כי כאשר משתמשים לגיטימיים במערכות מחשוב נגועות הופכים לפעילים, נכנסת אוטומטית נוזקת OpenCarrot למצב שינה ובודקת כל 15 שניות אם יש הכנסת כונני USB חדשים שניתן לשרוך ולהשתמש בהם לתנועה במערכת.
SentinelLabs טוענת כי מעורבותן של שתי קבוצות פריצה בחסות צפון קוריאה, יכולה להצביע על אסטרטגיה מכוונת: על ידי הקצאת שחקנים מרובים לשם חדירה ל- NPO Mashinostroyeniya, בה הם כנראה ראו יעד משמעותי לריגול, ייתכן שצפון קוריאה ניסתה להגביר את ההסתברות לפריצה מוצלחת.
