Deux acteurs différents de l’État-nation nord-coréen ont été liés à une cyber-intrusion contre la principale société russe d’ingénierie de missiles NPO Mashinostroyeniya.
La société de cybersécurité SentinelOne a déclaré avoir identifié « deux cas de compromission d’infrastructure informatique interne sensible liée à la Corée du Nord », dont un cas de compromission d’un serveur de messagerie et le déploiement d’une porte dérobée Windows appelée OpenCarrot.
La violation du serveur de messagerie Linux a été attribuée à ScarCruft. OpenCarrot, d’autre part, est un implant connu précédemment identifié comme utilisé par le groupe Lazarus. Les attaques ont été signalées à la mi-mai 2022.
Un bureau de conception de fusées basé à Reutov, NPO Mashinostroyeniya a été sanctionné par le département du Trésor américain en juillet 2014 en lien avec « les tentatives continues de la Russie de déstabiliser l’est de l’Ukraine et son occupation continue de la Crimée ».
Alors que ScarCruft (alias APT37) et le groupe Lazarus sont affiliés à la Corée du Nord, il convient de noter que le premier est supervisé par le ministère de la Sécurité d’État (MSS). Le groupe Lazarus fait partie du Lab 110, qui fait partie du Reconnaissance General Bureau (RGB), le principal service de renseignement étranger du pays.
Le développement marque une convergence rare où deux groupes d’activités de menace indépendants basés en Corée du Nord ont ciblé la même entité, indiquant une « mission d’espionnage stratégique hautement souhaitable » qui pourrait bénéficier à son programme de missiles controversé.
OpenCarrot est implémenté en tant que bibliothèque de liens dynamiques (DLL) Windows et prend en charge plus de 25 commandes pour effectuer une reconnaissance, manipuler des systèmes de fichiers et des processus et gérer plusieurs mécanismes de communication.
« Avec un large éventail de fonctionnalités prises en charge, OpenCarrot permet une compromission complète des machines infectées, ainsi que la coordination de plusieurs infections sur un réseau local », ont déclaré les chercheurs en sécurité Tom Hegel et Aleksandar Milenkoski.
La méthode exacte utilisée pour violer le serveur de messagerie ainsi que la chaîne d’attaque utilisée pour fournir OpenCarrot reste inconnue, bien que ScarCruft soit connu pour s’appuyer sur l’ingénierie sociale pour hameçonner les victimes et fournir des portes dérobées comme RokRat.
De plus, une inspection plus approfondie de l’infrastructure d’attaque a révélé deux domaines centos-packages[.]com et redhat-packages[.]com, qui présente des similitudes avec les noms utilisés par les acteurs de la menace dans le piratage JumpCloud en juin 2023.
« Cet incident est une illustration convaincante des mesures proactives de la Corée du Nord pour faire avancer secrètement ses objectifs de développement de missiles, comme en témoigne sa compromission directe d’une organisation russe de base industrielle de défense (DIB) », ont déclaré les chercheurs.
