Специалисты по информационной безопасности из компании SentinelLabs сообщили о хакерской атаке на российское предприятие «НПО машиностроения». Эта организация занимается разработкой космических ракет и является одной из ведущих ракетно-космических компаний России, заявило издание Bleeping Computer.
По словам экспертов по кибербезопасности из SentinelLabs, за этой кибератакой стоят хакеры из северокорейской группы ScarCruft, которая, как считается, является одной из спонсируемых государством хакерских группировок. Насколько стало известно, хакеры успешно взломали почтовый сервис и IT-инфраструктуру «НПО машиностроения», установив бэкдор в Windows, который называется OpenCarrot. Этот бэкдор позволяет получать дистанционный доступ к ИТ-сети организации.
На данный момент неясны мотивы и конечные цели хакеров. Но известно, что группа ScarCruft ранее занималась кибершпионажем, отслеживая работу и крадя конфиденциальную информацию у различных организаций.
В SentinelLabs отмечают, что взлом был выявлен после анализа утечки электронных писем из «НПО машиностроения», включая отчёты IT-подразделения, датированные маем 2022 года. Эта утечка информации стала отправной точкой для проведения собственного расследования экспертами SentinelLabs. В ходе анализа была выявлена кибератака куда более серьезного масштаба, чем предполагалось российским специалистам.
Изучая произошедшую утечку в «НПО машиностроения», российские эксперты ранее выявили подозрительные сетевые связи и другие индикаторы компрометации. Оказалось, что во внутренних системах организации был установлен вредоносный программный код. поэтому руководство компании обратилось к одной из ведущих российских компаний по кибербезопасности за помощью.
После детального анализа IP-адресов, индикаторов компрометации и других данных, специалисты SentinelLabs установили, что хакерами из Северной Кореи использовался бэкдор OpenCarrot, который уже был ранее связан с другой северокорейской хакерской группировкой, известной как Lazarus Group.
По словам специалистов SentinelLabs, северокорейские хакеры продолжают активно атаковать важные инфраструктурные объекты в разных странах, даже в дружеских, причем их мотивы и действия становятся все более сложными и разнообразными.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
