Un grup de elită de hackeri nord-coreeni a pătruns în secret în rețelele de calculatoare ale unui important dezvoltator rus de rachete timp de cel puțin cinci luni anul trecut, potrivit dovezilor tehnice examinate de Reuters și analizelor efectuate de cercetătorii în domeniul securității.
Reuters a descoperit că echipele de spionaj cibernetic legate de guvernul nord-coreean, pe care cercetătorii în domeniul securității le numesc ScarCruft și Lazarus, au instalat în secret backdoor-uri digitale invizibile în sistemele de la NPO Mashinostroyeniya, un birou de proiectare de rachete cu sediul în Reutov, un mic oraș de la periferia Moscovei. Reuters nu a putut stabili dacă au fost luate date în timpul intruziunii sau ce informații ar fi putut fi vizualizate. În lunile care au urmat spargerii digitale, Pyongyang a anunțat mai multe evoluții în programul său interzis de rachete balistice, dar nu este clar dacă acestea au legătură cu breșa.
Experții spun că incidentul arată cum țara izolată își va viza chiar și aliații, cum ar fi Rusia, în încercarea de a dobândi tehnologii critice. NPO Mashinostroyeniya nu a răspuns la solicitările de comentarii din partea Reuters. Ambasada Rusiei la Washington nu a răspuns la o solicitare de comentarii trimisă prin e-mail. Misiunea Coreei de Nord la Națiunile Unite de la New York nu a răspuns la o solicitare de comentarii.
Vestea hackingului vine la scurt timp după o călătorie la Pyongyang luna trecută a ministrului rus al apărării, Serghei Șoigu, cu ocazia celei de-a 70-a aniversări a Războiului din Coreea; prima vizită a unui ministru rus al apărării în Coreea de Nord de la destrămarea Uniunii Sovietice în 1991. Compania vizată, cunoscută sub numele de NPO Mash, a acționat ca un pionier în dezvoltarea de rachete hipersonice, tehnologii prin satelit și armament balistic de ultimă generație, potrivit experților în rachete – trei domenii de mare interes pentru Coreea de Nord de când aceasta s-a angajat în misiunea sa de a crea o rachetă balistică intercontinentală (ICBM) capabilă să lovească Statele Unite continentale. Potrivit datelor tehnice, intruziunea a început aproximativ la sfârșitul anului 2021 și a continuat până în mai 2022, când, potrivit unor comunicări interne ale companiei analizate de Reuters, inginerii IT au detectat activitatea hackerilor. NPO Mash a devenit proeminent în timpul Războiului Rece ca principal producător de sateliți pentru programul spațial al Rusiei și ca furnizor de rachete de croazieră.
Hack de email
Hackerii au săpat în mediul IT al companiei, ceea ce le-a dat posibilitatea de a citi traficul de e-mailuri, de a trece de la o rețea la alta și de a extrage date, potrivit lui Tom Hegel, un cercetător în domeniul securității de la firma americană de securitate cibernetică SentinelOne, care a descoperit inițial compromisul. „Aceste descoperiri oferă o perspectivă rară asupra operațiunilor cibernetice clandestine care, în mod tradițional, rămân ascunse de ochii publicului sau pur și simplu nu sunt niciodată surprinse de astfel de victime”, a declarat Hegel. Echipa de analiști de securitate a lui Hegel de la SentinelOne a aflat de hacking după ce a descoperit că un membru al personalului IT al NPO Mash a divulgat accidental comunicațiile interne ale companiei sale în timp ce încerca să investigheze atacul nord-coreean prin încărcarea dovezilor pe un portal privat folosit de cercetătorii în domeniul securității cibernetice din întreaga lume.
Contactat de Reuters, respectivul membru al personalului IT a refuzat să comenteze. Această scăpare a oferit Reuters și SentinelOne o imagine unică asupra unei companii de importanță critică pentru statul rus, care a fost sancționată de administrația Obama în urma invaziei din Crimeea. Doi experți independenți în securitate informatică, Nicholas Weaver și Matt Tait, au analizat conținutul emailului expus și au confirmat autenticitatea acestuia. Analiștii au verificat conexiunea prin confruntarea semnăturilor criptografice ale e-mailului cu un set de chei controlate de NPO Mash.
„Sunt foarte încrezător că datele sunt autentice”, a declarat Weaver pentru Reuters. „Modul în care au fost expuse informațiile a fost o greșeală absolut hilară”. SentinelOne a declarat că sunt încrezători că în spatele hackerilor se află Coreea de Nord, deoarece spionii cibernetici au reutilizat programe malware cunoscute anterior și infrastructuri malițioase create pentru a efectua alte intruziuni.
Film
În 2019, președintele rus Vladimir Putin a apreciat racheta hipersonică „Zircon” a NPO Mash ca fiind un „nou produs promițător”, capabil să se deplaseze cu o viteză de aproximativ nouă ori mai mare decât viteza sunetului. Faptul că hackerii nord-coreeni ar fi putut obține informații despre Zircon nu înseamnă că ar avea imediat aceeași capacitate, a declarat Markus Schiller, un expert în rachete cu sediul în Europa, care a cercetat ajutorul extern acordat programului de rachete nord-coreean.
„Sunt lucruri de film”, a spus el. „Obținerea planurilor nu te va ajuta prea mult în construirea acestor lucruri, este mult mai mult decât niște desene”. Cu toate acestea, având în vedere poziția NPO Mash ca designer și producător rus de rachete de top, compania ar fi o țintă valoroasă, a adăugat Schiller. „Sunt multe de învățat de la ei”, a spus el. Un alt domeniu de interes ar putea fi procesul de fabricație folosit de NPO Mash în jurul combustibilului, au declarat experții. Luna trecută, Coreea de Nord a testat lansarea Hwasong-18, primul dintre rachetele sale balistice intercontinentale care utilizează propulsoare solide.
