Хакеры из Северной Кореи взломали крупнейшего российского производителя ракет

Reuters:  Элитная группа северокорейских хакеров тайно взламывала компьютерные сети крупного российского разработчика ракет в течение как минимум пяти месяцев в прошлом году, согласно техническим доказательствам, рассмотренным Reuters, и анализу, проведенному исследователями безопасности.

Агентство Reuters обнаружило, что группы кибершпионажа, связанные с правительством Северной Кореи, которых исследователи безопасности называют ScarCruft и Lazarus, тайно устанавливали скрытые цифровые бэкдоры в системы НПО машиностроения, ракетного конструкторского бюро, расположенного в Реутове, небольшом городке на окраине Москвы.

Агентство Reuters не смогло определить, были ли взяты какие-либо данные во время вторжения или какая информация могла быть просмотрена. В течение нескольких месяцев после цифрового взлома Пхеньян объявил о нескольких изменениях в своей запрещенной программе баллистических ракет, но неясно, было ли это связано с взломом.

Эксперты говорят, что этот инцидент показывает, как изолированная страна нацеливается даже на своих союзников, таких как Россия, в попытке приобрести критически важные технологии.

НПО машиностроения не ответило на запросы Reuters о комментариях. Посольство России в Вашингтоне не ответило на запрос по электронной почте о комментариях. Миссия Северной Кореи при ООН в Нью-Йорке не ответила на запрос о комментариях.

Новости о взломе появились вскоре после поездки в Пхеньян в прошлом месяце министра обороны России Сергея Шойгу на 70-ю годовщину Корейской войны; первый визит министра обороны России в Северную Корею после распада Советского Союза в 1991 году.

По словам экспертов по ракетам, компания-мишень, широко известная как НПО Маш, выступила пионером в разработке гиперзвуковых ракет, спутниковых технологий и баллистических вооружений нового поколения — трех областей, представляющих большой интерес для Северной Кореи с тех пор, как она приступила к своей миссии по созданию Межконтинентальная баллистическая ракета (МБР), способная нанести удар по материковой части США.

Согласно техническим данным, вторжение началось примерно в конце 2021 года и продолжалось до мая 2022 года, когда, согласно внутренним сообщениям компании, проверенным Reuters, ИТ-инженеры обнаружили активность хакеров.

НПО Маш приобрело известность во время холодной войны как ведущий производитель спутников для космической программы России и поставщик крылатых ракет.

ПОЧТА ВЗЛОМ

Хакеры проникли в ИТ-среду компании, что дало им возможность читать почтовый трафик, переключаться между сетями и извлекать данные, по словам Тома Хегеля, исследователя безопасности из американской компании SentinelOne, специализирующейся на кибербезопасности, который первоначально обнаружил компрометацию.

«Эти результаты дают редкое представление о тайных кибероперациях, которые традиционно остаются скрытыми от общественного внимания или просто никогда не обнаруживаются такими жертвами», — сказал Хегель.

Команда аналитиков по безопасности Хегеля из SentinelOne узнала о взломе после того, как обнаружила, что сотрудник NPO Mash IT случайно слил внутренние сообщения своей компании, пытаясь расследовать северокорейскую атаку, загрузив доказательства на частный портал, используемый исследователями кибербезопасности по всему миру.

Когда агентство Reuters связалось с ним, этот ИТ-сотрудник отказался от комментариев.

Это упущение предоставило Reuters и SentinelOne уникальный снимок компании, имеющей решающее значение для российского государства, которая попала под санкции администрации Обамы после вторжения в Крым.

Два независимых эксперта по компьютерной безопасности, Николас Уивер и Мэтт Тейт, изучили раскрытое содержимое электронной почты и подтвердили его подлинность. Аналитики подтвердили соединение, сверив криптографические подписи электронной почты с набором ключей, контролируемых НПО Маш.

«Я полностью уверен, что данные достоверны», — сказал Уивер агентству Reuters. «То, как информация была раскрыта, было абсолютно веселым провалом».

SentinelOne заявила, что они уверены, что за взломом стоит Северная Корея, поскольку кибершпионы повторно использовали ранее известное вредоносное ПО и вредоносную инфраструктуру, созданную для других вторжений.

'КИНО МАТЕРИАЛЫ'

В 2019 году президент России Владимир Путин назвал гиперзвуковую ракету «Циркон» НПО Маш «многообещающим новым продуктом», способным летать со скоростью примерно в девять раз превышающей скорость звука.

Тот факт, что северокорейские хакеры могли получить информацию о «Цирконе», не означает, что они сразу же получили бы такие же возможности, сказал Маркус Шиллер, европейский эксперт по ракетам, исследовавший иностранную помощь ракетной программе Северной Кореи.

«Это киноматериал», — сказал он. «Получение планов не сильно поможет вам в создании этих вещей, это гораздо больше, чем несколько чертежей».

Однако, учитывая положение НПО Маш в качестве ведущего российского разработчика и производителя ракет, эта компания может стать ценной мишенью, добавил Шиллер.

«У них есть чему поучиться, — сказал он.

По словам экспертов, еще одной областью интереса может быть производственный процесс, используемый НПО Маш для окружающего топлива. В прошлом месяце Северная Корея провела испытательный пуск Hwasong-18, первой из своих межконтинентальных баллистических ракет, использующих твердое топливо.

Этот метод заправки может обеспечить более быстрое развертывание ракет во время войны, потому что он не требует заправки на пусковой площадке, что затрудняет отслеживание и уничтожение ракет до старта.

НПО Маш производит межконтинентальные баллистические ракеты, получившие название SS-19, которые заправляются топливом на заводе и запечатываются, процесс, известный как «ампулизация», который дает аналогичный стратегический результат.

«Это трудно сделать, потому что ракетное топливо, особенно окислитель, очень агрессивно», — сказал Джеффри Льюис, исследователь ракет из Центра исследований в области нераспространения им. Джеймса Мартина.

«Северная Корея объявила, что делает то же самое в конце 2021 года. Если у НПО Маш есть что-то полезное для них, это будет первым в моем списке», — добавил он.