Le groupe de piratage informatique parrainé par l’État nord-coréen ScarCruft a été lié à une cyberattaque contre l’infrastructure informatique et le serveur de messagerie de NPO Mashinostroyeniya, un concepteur russe de fusées spatiales et une organisation d’ingénierie de missiles balistiques intercontinentaux.
NPO Mashinostroyeniya est un concepteur et fabricant russe de véhicules orbitaux, d’engins spatiaux et de missiles tactiques de défense et d’attaque utilisés par les armées russe et indienne. Le département américain du Trésor (OFAC) sanctionne l’entreprise depuis 2014 pour sa contribution et son rôle dans la guerre russo-ukrainienne.
Aujourd’hui, SentinelLabs a rapporté que ScarCruft était à l’origine d’un piratage du serveur de messagerie et des systèmes informatiques de NPO Mashinostroyeniya, où les acteurs de la menace ont planté une porte dérobée Windows nommée « OpenCarrot » pour un accès à distance au réseau.
Bien que l’objectif principal de l’attaque ne soit pas clair, ScarCruft (APT37) est un groupe de cyberespionnage connu pour surveiller et voler des données d’organisations dans le cadre de leurs cybercampagnes.
Découverte de la brèche
Les analystes de la sécurité ont découvert la faille après avoir analysé une fuite de courrier électronique de NPO Mashinostroyeniya qui contenait des communications hautement confidentielles, y compris un rapport du personnel informatique avertissant d’un incident de cybersécurité potentiel à la mi-mai 2022.
SentinelLabs a exploité les informations contenues dans ces e-mails pour entreprendre une enquête, découvrant une intrusion beaucoup plus importante que ce que le fabricant de missiles avait imaginé.
Selon les e-mails divulgués, le personnel informatique de NPO Mashinostroyeniya a discuté d’une communication réseau suspecte entre les processus exécutés sur des appareils internes et des serveurs externes.
Cela a finalement conduit l’entreprise à trouver une DLL malveillante installée sur des systèmes internes, ce qui l’a amenée à s’engager avec sa société antivirus pour déterminer comment elle avait été infectée.
Après avoir analysé les adresses IP et d’autres indicateurs de compromission (IOC) trouvés dans les e-mails, SentinelLabs a déterminé que l’organisation russe était infectée par la porte dérobée Windows « OpenCarrot ».
Un lien vers Lazare
OpenCarrot est un logiciel malveillant de porte dérobée riche en fonctionnalités précédemment lié à un autre groupe de piratage nord-coréen, le groupe Lazarus.
Bien qu’il ne soit pas clair s’il s’agissait d’une opération conjointe entre ScarCruft et Lazarus, il n’est pas rare que des pirates nord-coréens utilisent des outils et des tactiques qui se chevauchent avec d’autres acteurs de la menace parrainés par l’État dans le pays.
La variante d’OpenCarrot utilisée dans cette attaque particulière a été implémentée sous la forme d’un fichier DLL, prend en charge les communications par proxy via les hôtes du réseau interne.
La porte dérobée prend en charge un total de 25 commandes, dont :
- Reconnaissance : Énumération des attributs de fichier et de processus, analyse et ping ICMP des hôtes dans les plages IP pour les ports TCP ouverts et la disponibilité.
- Manipulation du système de fichiers et des processus : arrêt du processus, injection de DLL, suppression de fichiers, changement de nom et horodatage.
- Reconfiguration et connectivité : gestion des communications C2, y compris la résiliation des canaux de communication existants et l’établissement de nouveaux canaux de communication, la modification des données de configuration des logiciels malveillants stockées sur le système de fichiers et la mise en proxy des connexions réseau.
Lorsque des utilisateurs légitimes sur les appareils compromis deviennent actifs, OpenCarrot entre automatiquement en état de veille et vérifie toutes les 15 secondes l’insertion de nouvelles clés USB pouvant être liées et utilisées pour les mouvements latéraux.
Simultanément, SentinelLabs a vu des preuves de trafic suspect provenant du serveur de messagerie Linux de la victime, qui se dirigeait vers l’infrastructure ScarCruft.
Les analystes déterminent toujours la méthode d’intrusion mais mentionnent la possibilité que les acteurs de la menace utilisent leur porte dérobée RokRAT.
SentinelLabs suggère que l’implication de deux groupes de piratage soutenus par l’État pourrait indiquer une stratégie délibérée de l’État nord-coréen qui contrôle les deux.
En affectant plusieurs acteurs pour infiltrer NPO Mashinostroyeniya, qu’ils considéraient probablement comme une cible importante pour l’espionnage, l’État a peut-être cherché à amplifier la probabilité d’une infraction réussie.