El grupo de hackers patrocinado por
el estado de Corea del Norte, ScarCruft, ha sido vinculado a un ataque
cibernético en la infraestructura informática y el servidor de correo
electrónico de NPO Mashinostroyeniya, una organización rusa de diseño de cohetes
espaciales y de ingeniería de misiles balísticos intercontinentales.
NPO Mashinostroyeniya es un diseñador
y fabricante ruso de vehículos orbitales, naves espaciales y misiles tácticos
de defensa y ataque utilizados por los ejércitos ruso e indio. El Departamento
del Tesoro de Estados Unidos ha sancionado a la empresa desde 2014 por su
contribución y papel en la guerra ruso-ucraniana.
Recientemente, SentinelLabs informó
que ScarCruft está detrás de un ataque al servidor de correo electrónico y los
sistemas de NPO Mashinostroyeniya, donde los atacantes instalaron una puerta
trasera de Windows llamada ‘OpenCarrot’ para el acceso remoto a la red.
Si bien el objetivo principal del
ataque no está claro, ScarCruft (APT37) es un grupo de espionaje cibernético
conocido por vigilar y robar datos de organizaciones como parte de sus campañas
cibernéticas.
Descubriendo
el ataque
Los analistas de seguridad
descubrieron el incidente después de analizar una filtración de correo
electrónico de NPO Mashinostroyeniya que contenía comunicaciones altamente
confidenciales, incluido un informe del personal de informática que advertía
sobre un posible incidente de ciberseguridad a mediados de mayo de 2022.
SentinelLabs aprovechó la información
de estos correos electrónicos para emprender una investigación y descubrió una
intrusión mucho más significativa de lo que el fabricante de misiles pensó.
Según los correos electrónicos
filtrados, el personal de informática de NPO Mashinostroyeniya discutió la
comunicación de red sospechosa entre los procesos que se ejecutan en
dispositivos internos y servidores externos.
En última instancia, esto llevó a la
empresa a encontrar una DLL maliciosa instalada en los sistemas internos.
Después de analizar las direcciones
IPs y otros indicadores de compromiso (IOC) encontrados en los correos
electrónicos, SentinelLabs determinó que la organización rusa estaba infectada
con la puerta trasera de Windows ‘OpenCarrot’.
Vínculos
con Lazarus
OpenCarrot es un malware de puerta
trasera rico en características previamente vinculado a otro grupo de hackers de Corea del Norte, Lazarus Group.
Si bien no está claro si se trató de
una operación conjunta entre ScarCruft y Lazarus, no es raro que los hackers de
Corea del Norte utilicen herramientas y tácticas que se superponen con otros
atacantes patrocinados por el estado en el país.
La variante de OpenCarrot utilizada
en este ataque en particular se implementó como un archivo DLL y admite
comunicaciones de proxy a través de hosts de red internos.
Cuando los usuarios legítimos de los
dispositivos comprometidos se activan, OpenCarrot ingresa automáticamente en un
estado de suspensión y verifica cada 15 segundos la inserción de nuevas
unidades USB que se pueden conectar y usar para el movimiento lateral.
Simultáneamente, SentinelLabs vio
evidencia de tráfico sospechoso que se originaba en el servidor de correo
electrónico Linux de la víctima, que se dirigía a la infraestructura de
ScarCruft.
Los analistas aún están determinando
el método de intrusión, pero mencionan la posibilidad de que los atacantes usen
su puerta trasera RokRAT.
SentinelLabs sugiere que la
participación de dos grupos de hacekrs respaldados por el estado podría indicar
una estrategia deliberada del estado de Corea del Norte que controla ambos.
Al asignar múltiples atacantes para
infiltrarse en NPO Mashinostroyeniya, que probablemente consideraban un
objetivo importante para el espionaje, el estado puede haber buscado aumentar
la probabilidad de un ataque exitoso.
Cómo Corea del Norte recluta jóvenes para su ejército de hackers