İki farklı Kuzey Koreli ulus-devlet aktörü, önde gelen Rus füze mühendisliği şirketi NPO Mashinostroyeniya’ya yönelik bir siber saldırıyla ilişkilendirildi.
Siber güvenlik firması SentinelOne, bir e-posta sunucusu ihlali ve OpenCarrot adlı bir Windows arka kapısının konuşlandırılması da dahil olmak üzere “Kuzey Kore ile ilgili hassas dahili BT altyapısının ele geçirilmesiyle ilgili iki örnek” belirlediğini söyledi.
Linux e-posta sunucusunun ihlali ScarCruft’a atfedildi. OpenCarrot ise daha önce Lazarus Group tarafından kullanıldığı tespit edilen bilinen bir implanttır. Saldırılar, 2022 Mayıs ayının ortalarında işaretlendi.
Reutov merkezli bir roket tasarım bürosu olan NPO Mashinostroyeniya, Temmuz 2014’te ABD Hazine Bakanlığı tarafından “Rusya’nın Doğu Ukrayna’yı istikrarsızlaştırmaya yönelik devam eden girişimleri ve devam eden Kırım işgali” ile bağlantılı olarak yaptırıma tabi tutuldu.
Hem ScarCruft (aka APT37) hem de Lazarus Group Kuzey Kore’ye bağlı olsa da, ilkinin Devlet Güvenlik Bakanlığı (MSS) tarafından denetlendiğini belirtmekte fayda var. Lazarus Group, ülkenin birincil dış istihbarat servisi olan Reconnaissance General Bureau’nun (RGB) bir bileşeni olan Lab 110’un bir parçasıdır.
Gelişme, Kuzey Kore merkezli iki bağımsız tehdit faaliyeti kümesinin aynı varlığı hedef aldığı, tartışmalı füze programına fayda sağlayabilecek “son derece arzu edilen bir stratejik casusluk görevi” olduğunu gösteren nadir bir yakınlaşmaya işaret ediyor.
OpenCarrot, Windows dinamik bağlantı kitaplığı (DLL) olarak uygulanır ve keşif yapmak, dosya sistemlerini ve süreçleri değiştirmek ve çeşitli iletişim mekanizmalarını yönetmek için 25’in üzerinde komutu destekler.
Güvenlik araştırmacıları Tom Hegel ve Aleksandar Milenkoski, “Geniş bir yelpazede desteklenen işlevlerle OpenCarrot, virüs bulaşmış makinelerin tam olarak ele geçirilmesinin yanı sıra yerel bir ağda birden çok bulaşmanın koordinasyonunu sağlıyor.” dedi.
Grubun kurbanları kimlik avı yapmak ve RokRat gibi arka kapılar sağlamak için sosyal mühendisliğe güvendiği bilinmesine rağmen, e-posta sunucusunu ihlal etmek için kullanılan kesin yöntem hala bilinmiyor.
Dahası, saldırı altyapısının daha yakından incelenmesi, iki etki alanı centos paketini ortaya çıkardı.[.]com ve redhat paketleri[.]Haziran 2023’te JumpCloud hack’inde kullanılan tehdit aktörlerinin isimleriyle benzerlikler taşıyan com.
Araştırmacılar, “Bu olay, Kuzey Kore’nin bir Rus Savunma-Sanayi Üssü (DIB) örgütünden doğrudan ödün vermesiyle kanıtlandığı gibi, füze geliştirme hedeflerini gizlice ilerletmek için proaktif önlemlerinin zorlayıcı bir örneği olarak duruyor” dedi.