Kisah Hacker Korut Bobol Perancang Rudal Rusia

Kelompok peretasan yang disponsori oleh pemerintah Korea Utara, ScarCruft, telah dikaitkan dengan serangan siber terhadap infrastruktur IT dan email server perancang rudal asal Rusia, NPO Mashinostroyeniya.

Perusahaan ini merupakan perancang dan produsen kendaraan orbital, pesawat ruang angkasa, serta rudal pertahanan dan serangan taktis Rusia yang digunakan oleh tentara Rusia dan India.

Departemen Keuangan AS (OFAC) telah menjatuhkan sanksi kepada perusahaan ini sejak 2014 atas kontribusi dan perannya dalam perang Rusia-Ukraina.

SentinelLabs kemudian melaporkan bahwa ScarCruft berada di balik peretasan server email dan sistem TI NPO Mashinostroyeniya, di mana para pelaku memasang backdoor Windows bernama 'OpenCarrot' untuk akses jarak jauh ke jaringan.

Meskipun tidak jelas apa tujuan utama dari serangan ini, ScarCruft (APT37) adalah sebuah kelompok spionase siber yang dikenal melakukan survei dan mencuri data dari organisasi sebagai bagian dari kampanye siber mereka.

Pakar keamanan menemukan pelanggaran dari sistem mereka, setelah menganalisis kebocoran email dari NPO Mashinostroyeniya yang berisi komunikasi sangat rahasia.

Termasuk, laporan dari staf TI yang memperingatkan potensi insiden keamanan siber pada pertengahan Mei 2022.

SentinelLabs memanfaatkan informasi dalam email ini untuk melakukan penyelidikan. Mereka menemukan penyusupan yang jauh lebih signifikan daripada yang disadari oleh pembuat rudal.

Menurut email yang bocor, staf IT di NPO Mashinostroyeniya membahas komunikasi jaringan yang mencurigakan antara proses yang berjalan di perangkat internal dan server eksternal.

Hal ini pada akhirnya menyebabkan perusahaan menemukan DLL berbahaya yang diinstal pada sistem internal, sehingga menyebabkan mereka menghubungi perusahaan antivirus untuk mencari kenapa mereka terinfeksi.

Setelah menganalisis alamat IP dan indicators of compromise (IOCs) lainnya yang ditemukan dalam email, SentinelLabs menemukan bahwa organisasi Rusia itu terinfeksi dengan pintu belakang Windows 'OpenCarrot'.

Dikutip dari Bleeping Computer, OpenCarrot adalah malware yang kaya fitur, yang sebelumnya terkait dengan kelompok peretasan Korea Utara, Lazarus Group.

Meskipun tidak jelas apakah ini merupakan operasi gabungan antara ScarCruft dan Lazarus, bukan hal yang aneh bagi peretas Korea Utara untuk menggunakan alat dan taktik yang tumpang tindih.

Varian OpenCarrot yang digunakan dalam serangan khusus ini diimplementasikan sebagai file DLL, mendukung komunikasi proksi melalui host jaringan internal.

Para analis masih menentukan metode penyusupan tetapi memprediksi jika pelaku ancaman menggunakan backdoor RokRAT yang menjadi ciri khas mereka.

SentinelLabs menunjukkan bahwa keterlibatan dua kelompok peretasan yang didukung oleh negara dapat mengindikasikan strategi yang disengaja oleh negara Korea Utara yang mengendalikan keduanya.

Dengan menugaskan beberapa aktor untuk menyusup ke NPO Mashinostroyeniya, negara mungkin berusaha memperkuat kemungkinan pembobolan yang berhasil.