P贸艂nocnokorea艅scy hakerzy “ScarCruft” wdarli si臋 do rosyjskiego producenta rakiet

Finansowana przez pa艅stwo grupa hakerska ScarCruft z Korei P贸艂nocnej zosta艂a powi膮zana z atakiem cybernetycznym, kt贸ry skierowano na systemy informatyczne i serwer poczty elektronicznej organizacji NPO Mashinostroyeniya. Ta rosyjska instytucja zajmuje si臋 projektowaniem rakiet kosmicznych oraz technologii mi臋dzykontynentalnych pocisk贸w balistycznych.

P贸艂nocnokorea艅scy hakerzy "ScarCruft" wdarli si臋 do rosyjskiego producenta rakiet, itweek.pl
P贸艂nocnokorea艅scy hakerzy "ScarCruft" wdarli si臋 do rosyjskiego producenta rakiet, itweek.pl
Reklama:

Finansowana przez pa艅stwo grupa hakerska ScarCruft z Korei P贸艂nocnej zosta艂a powi膮zana z atakiem cybernetycznym, kt贸ry skierowano na systemy informatyczne i serwer poczty elektronicznej organizacji NPO Mashinostroyeniya. Ta rosyjska instytucja zajmuje si臋 projektowaniem rakiet kosmicznych oraz technologii mi臋dzykontynentalnych pocisk贸w balistycznych. Produkuje tak偶e statki kosmiczne oraz taktyczne pociski obronne i ofensywne, kt贸re s艂u偶膮 armiom Rosji i Indii. Od 2014 roku Departament Skarbu USA (OFAC) na艂o偶y艂 sankcje na NPO Mashinostroyeniya w zwi膮zku z jej zaanga偶owaniem i rol膮 w konflikcie rosyjsko-ukrai艅skim.

Wczoraj firma SentinelLabs poda艂a do wiadomo艣ci, 偶e to w艂a艣nie ScarCruft jest odpowiedzialna za wtargni臋cie do systemu poczty elektronicznej oraz sieci komputerowej NPO Mashinostroyeniya. W trakcie tego ataku, hakerzy zainstalowali tyln膮 furtk臋 w systemie Windows o nazwie “OpenCarrot”, umo偶liwiaj膮c膮 im zdalny dost臋p do sieci organizacji.

Chocia偶 celem ataku pozostaj膮 niewyja艣nione, ScarCruft (znana tak偶e jako APT37) jest znan膮 grup膮 hakersk膮, kt贸rej dzia艂ania skupiaj膮 si臋 na inwigilacji i kradzie偶y danych w ramach r贸偶nych kampanii cybernetycznych.

Ujawnienie naruszenia zabezpiecze艅 nast膮pi艂o po przeanalizowaniu przecieku wiadomo艣ci e-mail pochodz膮cych od NPO Mashinostroyeniya. Te wiadomo艣ci zawiera艂y poufne informacje, w tym raport od personelu IT ostrzegaj膮cy o potencjalnym incydencie zwi膮zanym z cyberbezpiecze艅stwem w po艂owie maja 2022 roku. Dzi臋ki tym danym, firma SentinelLabs przeprowadzi艂a dochodzenie i odkry艂a znacznie powa偶niejsze naruszenie ni偶 pocz膮tkowo przypuszczano przez producenta rakiet. Wed艂ug przeciek艂ych wiadomo艣ci e-mail, personel IT NPO Mashinostroyeniya dyskutowa艂 na temat podejrzanej komunikacji sieciowej mi臋dzy wewn臋trznymi procesami a zewn臋trznymi serwerami. To w ko艅cu doprowadzi艂o do odkrycia z艂o艣liwej biblioteki DLL zainstalowanej w systemach wewn臋trznych, co sk艂oni艂o firm臋 do skontaktowania si臋 z producentem oprogramowania antywirusowego, by dowiedzie膰 si臋, jak dosz艂o do infekcji.

email • itweek.pl - nowy serwis informacyjny dla IT
Niepowi膮zana pr贸bka z e-maili, kt贸re wyciek艂y聽殴r贸d艂o
: SentinelLabs

Przeanalizowanie adres贸w IP i innych wska藕nik贸w naruszenia (IOC) zawartych w wiadomo艣ciach e-mail pozwoli艂o firmie SentinelLabs ustali膰, 偶e rosyjska organizacja zosta艂a zainfekowana za pomoc膮 backdoora Windows o nazwie “OpenCarrot”. “OpenCarrot” to zaawansowane oprogramowanie typu backdoor, kt贸re wcze艣niej by艂o kojarzone z inn膮 grup膮 hakersk膮 z Korei P贸艂nocnej, znan膮 jako Lazarus Group.

Chocia偶 nie jest pewne, czy ScarCruft i Lazarus wsp贸艂pracowa艂y, hakerzy z Korei P贸艂nocnej cz臋sto korzystaj膮 z podobnych narz臋dzi i taktyk, co inne grupy dzia艂aj膮ce z poparciem pa艅stwa w tym kraju. Wersja “OpenCarrot” wykorzystana w tym konkretnym ataku zosta艂a wdro偶ona jako plik DLL, kt贸ry obs艂uguje komunikacj臋 proxy przez wewn臋trzne hosty sieciowe.

Backdoor ten obs艂uguje 艂膮cznie 25 polece艅, w tym:

  • Rozpoznanie: zbieranie informacji o plikach i procesach, skanowanie oraz pingowanie ICMP host贸w w celu wykrycia otwartych port贸w TCP i dost臋pno艣ci.
  • Manipulacja plikami i procesami systemowymi: zamykanie proces贸w, wstrzykiwanie plik贸w DLL, usuwanie plik贸w, zmiana nazw i znacznik贸w czasu.
  • Rekonfiguracja i komunikacja: zarz膮dzanie komunikacj膮 C2, w tym zamykanie istniej膮cych i tworzenie nowych kana艂贸w komunikacyjnych, zmiana ustawie艅 konfiguracyjnych z艂o艣liwego oprogramowania przechowywanych w systemie plik贸w oraz przekazywanie po艂膮cze艅 sieciowych.
  • Gdy uprawnieni u偶ytkownicy zaatakowanych urz膮dze艅 staj膮 si臋 aktywni, “OpenCarrot” automatycznie przechodzi w stan u艣pienia i co 15 sekund sprawdza, czy nie pod艂膮czono nowych nap臋d贸w USB, kt贸re mog膮 pos艂u偶y膰 do ruchu bocznego.

Jednocze艣nie firma SentinelLabs wykry艂a podejrzany ruch pochodz膮cy z serwera poczty e-mail ofiary na systemie Linux. Ten serwer wysy艂a艂 sygna艂y do infrastruktury ScarCruft. Analitycy nadal analizuj膮 spos贸b ataku, jednak偶e istnieje podejrzenie, 偶e wykorzystano charakterystyczny backdoor o nazwie RokRAT.

SentinelLabs sugeruje, 偶e zaanga偶owanie dw贸ch grup hakerskich wspieranych przez pa艅stwo mo偶e wskazywa膰 na celow膮 strategi臋 Korei P贸艂nocnej, kt贸ra mo偶e kontrolowa膰 obie te grupy. Rozpraszaj膮c atak na NPO Mashinostroyeniya pomi臋dzy r贸偶ne aktor贸w, prawdopodobnie postrzeganych jako wa偶ny cel szpiegowski, pa艅stwo mog艂o d膮偶y膰 do zwi臋kszenia prawdopodobie艅stwa udanego ataku.

Reklama: