OpenCarrot-Hintertür

Staatlich geförderte Hacker, von denen angenommen wird, dass sie mit Nordkorea in Verbindung stehen, haben sensible interne IT-Infrastrukturen kompromittiert. Zu den bemerkenswertesten Vorfällen zählen die Kompromittierung eines E-Mail-Servers und der Einsatz einer Windows-Hintertür namens OpenCarrot. Die Cyber-Angreifer zielten gezielt auf NPO Mashinostroyeniya, ein bekanntes russisches Raketenbauunternehmen.

Der Verstoß gegen den Linux-E-Mail-Server wurde der Hackergruppe ScarCruft zugeschrieben. Allerdings wurde die Windows-Hintertür OpenCarrot bereits zuvor mit der Lazarus-Gruppe in Verbindung gebracht, und die ersten Angriffe, die sie nutzten, wurden von Cybersicherheitsexperten Mitte Mai 2022 entdeckt.

NPO Mashinostroyeniya mit Sitz in Reutow ist ein Raketenkonstruktionsbüro, das seit Juli 2014 mit Sanktionen des US-Finanzministeriums belegt ist. Die Sanktionen wurden aufgrund der Verbindung des Büros zu „Russlands anhaltenden Versuchen, die Ostukraine zu destabilisieren und seiner anhaltenden Besetzung der Krim“ verhängt.

Die OpenCarrot-Backdoor verfügt über eine umfangreiche Reihe bedrohlicher Funktionen

OpenCarrot ist als Windows-DLL (Dynamic Link Library) konzipiert und bietet Unterstützung für mehr als 25 verschiedene Befehle. Diese Befehle erleichtern Aktivitäten wie Aufklärung, Manipulation von Dateisystemen und Prozessen sowie die Verwaltung verschiedener Kommunikationsmethoden. Der große Funktionsumfang von OpenCarrot reicht aus, um den Angreifern die vollständige Kontrolle über die kompromittierten Maschinen zu verschaffen. Gleichzeitig werden die Bedrohungsakteure in die Lage versetzt, mehrere Infektionen im lokalen Netzwerk des Opfers durchzuführen.

Während der konkrete Ansatz zum Angriff auf den E-Mail-Server und die Angriffssequenz zur Bereitstellung von OpenCarrot nicht bekannt gegeben werden, wird anerkannt, dass ScarCruft bei Phishing-Angriffen häufig Social-Engineering-Taktiken einsetzt, um Opfer zu täuschen und Hintertüren wie RokRat einzuschleusen.

Darüber hinaus hat eine gründliche Analyse der Angriffsinfrastruktur die Existenz von zwei Domänen aufgedeckt: centos-packages[.]com und redhat-packages[.]com. Diese Domänen weisen eine erhebliche Ähnlichkeit mit den Namen auf, die von den Bedrohungsakteuren während des JumpCloud-Hacks im Juni 2023 verwendet wurden.

OpenCarrot zeigt eine seltene Konvergenz nordkoreanischer APT-Gruppen (Advanced Persistent Threat).

Sowohl ScarCruft (auch bekannt als APT37) als auch die Lazarus Group haben Verbindungen zu Nordkorea. Es wird jedoch angenommen, dass ScarCruft in den Zuständigkeitsbereich des Ministeriums für Staatssicherheit (MSS) fällt. Im Gegensatz dazu operiert die Lazarus-Gruppe angeblich im Labor 110, einer Fraktion des Reconnaissance General Bureau (RGB), das als wichtigster Auslandsgeheimdienst des Landes fungiert.

Der OpenCarrot-Angriff stellt eine bemerkenswerte Zusammenarbeit dar, bei der zwei verschiedene mit Nordkorea verbundene unabhängige Cluster von Bedrohungsaktivitäten ihre Bemühungen auf dasselbe Ziel gerichtet haben. Diese Konvergenz deutet auf eine strategische Spionagemission mit erheblichen Auswirkungen hin, die möglicherweise dem umstrittenen Raketenprogramm Nordkoreas zugute kommen soll.

Tatsächlich dient die OpenCarrot-Operation als überzeugendes Beispiel für die proaktiven Initiativen Nordkoreas, seine Raketenentwicklungsziele heimlich voranzutreiben. Dies wird durch die Entscheidung deutlich, eine als prominente russische Verteidigungsindustriebasis (DIB) geltende Organisation direkt zu kompromittieren.