Sommario
Il gruppo di hacker sponsorizzato dallo stato nordcoreano, noto come ScarCruft, è stato associato a un cyberattacco contro l’infrastruttura IT e il server di posta elettronica di NPO Mashinostroyeniya, un’organizzazione russa specializzata nella progettazione di razzi spaziali e missili balistici intercontinentali.
Dettagli dell’attacco
NPO Mashinostroyeniya è un’azienda russa che progetta e produce veicoli orbitali, navicelle spaziali e missili difensivi e d’attacco utilizzati dagli eserciti russo e indiano. L’azienda è stata sanzionata dal Dipartimento del Tesoro degli Stati Uniti dal 2014 per il suo ruolo nella guerra russo-ucraina.
SentinelLabs ha riferito che ScarCruft è dietro l’attacco al server di posta elettronica e ai sistemi IT di NPO Mashinostroyeniya. Gli attaccanti hanno installato un backdoor Windows denominato ‘OpenCarrot’ per l’accesso remoto alla rete. Sebbene l’obiettivo principale dell’attacco non sia chiaro, ScarCruft è noto per le sue attività di spionaggio e furto di dati.
Scoperta della violazione
La violazione è stata scoperta dopo l’analisi di una fuga di e-mail da NPO Mashinostroyeniya che conteneva comunicazioni altamente riservate. Queste e-mail includevano un rapporto del personale IT che avvertiva di un possibile incidente di sicurezza informatica nel maggio 2022. Dopo aver analizzato gli indirizzi IP e altri indicatori di compromissione trovati nelle e-mail, SentinelLabs ha determinato che l’organizzazione russa era stata infettata dal backdoor ‘OpenCarrot’.
Collegamento con Lazarus
Il malware ‘OpenCarrot’ è stato precedentemente associato a un altro gruppo di hacker nordcoreani, il Lazarus Group. Non è chiaro se si tratti di un’operazione congiunta tra ScarCruft e Lazarus, ma non è raro che gli hacker nordcoreani utilizzino strumenti e tattiche che si sovrappongono ad altri attori minacciosi sponsorizzati dallo stato nel paese.
L’attacco a NPO Mashinostroyeniya sottolinea la crescente minaccia degli attori minacciosi sponsorizzati dallo stato e l’importanza di mantenere sistemi di sicurezza robusti. Con l’evoluzione continua delle tattiche degli hacker, le organizzazioni devono rimanere vigili e aggiornate per proteggere le loro risorse e informazioni.
