Исследователи компании SentinelOne утверждают, что северокорейская группировка ScarCruft связана с атакой на «НПО машиностроения», российского производителя спутников, крылатых, баллистических и гиперзвуковых ракет.  По данным экспертов, атака началась еще в конце 2021 года и была обнаружена в мае 2022 года.

ВПК «НПО машиностроения» является одним из ведущих ракетно-космических предприятий в России и разработчиком полного спектра ракетной и космической техники — ракет-носителей, спутников, пилотируемых космических кораблей, пилотируемых орбитальных станций и их модулей, военных баллистических, крылатых и прочих ракет.

В своем отчете SentinelOne заявляет, что кибершпионская группировка ScarCruft (она же APT37 и Inky Squid) взломала почтовый сервер и ИТ-системы «НПО машиностроения», а затем внедрила в системы предприятия Windows-бэкдор OpenCarrot, обеспечивавший удаленный доступ.

Исследователи говорят, что узнали во взломе благодаря анализу утекших электронных писем, которые содержали строго конфиденциальные сообщения сотрудников «НПО машиностроения», в том числе отчет ИТ-персонала, предупреждающий о некоем киберинциденте, обнаруженном в середине мая 2022 года.

В письмах ИТ-специалисты «НПО машиностроения» обсуждали подозрительную сетевую активность между процессами, запущенными на внутренних устройствах, и внешними серверами. В конечном итоге они обнаружили вредоносную DLL, установленную во внутренних системах, и обратились за помощью к сторонним ИБ-специалистам для расследования атаки.

Похоже, что утечка этих электронных писем была случайностью и исходила от сотрудника, который расследовал инцидент и загрузил некоторые связанные с атакой файлы в VirusTotal или в другой аналогичный сервис.

Эксперты SentinelOne использовали информацию из писем для проведения собственного расследования и выявили атаку на предприятие, вероятно, начавшуюся еще в 2021 году. Изучив IP-адреса и другие индикаторы компрометации из писем, в SentinelLabs пришли к выводу, что системы «НПО машиностроения» были заражены бэкдором OpenCarrot.

Как именно был взломан почтовый сервер, и какая цепочка атак использовалась для доставки OpenCarrot, неизвестно, хотя отмечается, что участники ScarCruft нередко полагаются на социальную инженерию и фишинг для доставки своих «фирменных» бэкдоров, например, RokRat.

OpenCarrot представляет собой многофункциональный бэкдор, который ранее уже связывали с северокорейской хак-группой Lazarus. Пока неясно, была ли эта атака совместной операцией ScarCruft и Lazarus, но аналитики отмечают, что северокорейские хакеры нередко используют схожие или вообще одинаковые инструменты и тактики.

При этом исследователи пишут о подозрительном трафике, который исходил от почтового сервера жертвы и направлялся в инфраструктуру ScarCruft.

Версия OpenCarrot, задействованная в этой конкретной атаке, была реализован в виде DLL-файла, поддерживающего проксирование связи через хосты во внутренней сети.

В общей сложности этот бэкдор поддерживает 25 команд, включая:

  • разведка —  перечисление атрибутов файлов и процессов, сканирование и ICMP-пинг хостов в определенных диапазонах IP-адресов, чтобы проверить наличие открытых TCP-портов и доступность;
  • манипулирование файловой системой и процессами — завершение процессов, внедрение DLL, удаление файлов, переименование и обновленные временных меток (timestamping);
  • перенастройка и подключение — управление C&C-коммуникациями, включая ликвидацию существующих и создание новых каналов связи, изменение конфигурации вредоносных программ, хранящихся в файловой системе, а также проксирование сетевых подключений.

При этом если пользователь скомпрометированного устройства активен, OpenCarrot автоматически переходит в спящий режим и каждые 15 секунд проверяет наличие новых USB-накопителей, которые можно заразить и использовать для бокового перемещения.

«Данный инцидент ярко иллюстрирует проактивные действия Северной Кореи по скрытому продвижению своих целей в сфере разработки ракет, о чем свидетельствует прямая компрометация российского предприятия ВПК, — заключают исследователи. — [Наш отчет] дает редкое представление о секретных кибероперациях, которые обычно остаются скрытыми от глаз общественности, или попросту не обнаруживаются жертвами».

По информации Reuters, северокорейские хакеры могли быть заинтересованы в краже данных о гиперзвуковой ракете «Циркон», разрабатываемой «НПО машиностроения» и принятой на вооружение 4 января 2023 года, а  также в технологии «ампулизации» ракет.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 2 комментария к записи SentinelOne: северокорейские хакеры взломали «НПО машиностроения», производящее ракеты
    Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии