От Джеймс Пиърсън и Кристофър Бинг
ЛОНДОН/ВАШИНГТОН (Ройтерс) – Елитна група севернокорейски хакери проникнаха тайно в компютърни мрежи на основен Руски разработчик на ракети в продължение на най-малко пет месеца миналата година, според технически доказателства, прегледани от Ройтерс и анализ на изследователи по сигурността.
Ройтерс откри екипи за кибершпионаж, свързани с правителството на Северна Корея, които изследователите по сигурността наричат ScarCruft и Lazarus, тайно инсталира скрити дигитални задни вратички в системите на NPO Mashinostroyeniya, ракетно конструкторско бюро, базирано в Реутов, малък град в покрайнините на Москва.
Ройтерс не можа да определи дали са взети някакви данни по време на проникването или каква информация може да е била прегледана. В месеците след дигиталния пробив Пхенян обяви няколко развития в забранената си програма за балистични ракети, но не е ясно дали това е свързано с пробива.
Експертите казват, че инцидентът показва как изолираната страна дори ще се насочва към своите съюзници, като Русия, в опит да придобие критични технологии.
NPO Mashinostroyeniya не отговори на искания от Ройтерс за коментар. Руското посолство във Вашингтон не отговори на изпратено по имейл искане за коментар. Мисията на Северна Корея към ООН в Ню Йорк не отговори на искане за коментар.
Новината за хакерската атака идва малко след посещение в Пхенян миналия месец на руския министър на отбраната Сергей Шойгу за 70-ата годишнина от Корейската война; първото посещение на руски министър на отбраната в Северна Корея след разпадането на Съветския съюз през 1991 г.
Целевата компания, известна като NPO Mash, е действала като пионер в разработването на хиперзвукови ракети, сателитни технологии и балистични въоръжения от по-ново поколение, според експерти по ракети – три области от силен интерес за Северна Корея, откакто тя се зае с мисията си да създаде междуконтинентална балистична ракета (ICBM), способна да удари континенталната част на Съединените щати.
Според технически данни, проникването грубо е започнало в края на 2021 г. и е продължило до май 2022 г., когато според вътрешната комуникация в компанията, прегледана от Reuters, ИТ инженерите са открили дейността на хакерите.
Историята продължаваNPO Mash стана известна по време на Студената война като основен производител на сателити за руската космическа програма и като доставчик на крилати ракети.
ХАК НА ИМЕЙЛ
Хакерите проникнаха в ИТ средата на компанията, давайки им възможност за четене на имейл трафик, прескачане между мрежи и извличане на данни, според Том Хегел, изследовател по сигурността в американската фирма за киберсигурност SentinelOne, който първоначално откри компромиса.
„Тези констатации дават рядка представа за тайното кибернетично пространство операции, които традиционно остават скрити от обществения контрол или просто никога не биват заловени от такива жертви“, каза Хегел.
Екипът на Хегел от анализатори по сигурността в SentinelOne научи за хака, след като откри, че ИТ служител на NPO Mash случайно е изтекъл своите вътрешната комуникация на компанията, докато се опитва да разследва севернокорейската атака чрез качване на доказателства в частен портал, използван от изследователи по киберсигурност по целия свят.
Когато се свърза с Ройтерс, този ИТ служител отказа коментар.
Пропускът предостави на Reuters и SentinelOne уникална моментна снимка на компания от критично значение за руската държава, която беше санкционирана от администрацията на Обама след нахлуването в Крим.
Двама независими експерти по компютърна сигурност, Никълъс Уивър и Мат Tait прегледа изложеното съдържание на имейла и потвърди автентичността му. Анализаторите потвърдиха връзката, като провериха криптографските подписи на имейла срещу набор от ключове, контролирани от NPO Mash.
„Силно съм уверен, че данните са автентични“, каза Уивър пред Ройтерс. „Начинът, по който информацията беше разкрита, беше абсолютно забавна грешка“.
SentinelOne казаха, че са уверени, че Северна Корея стои зад хака, тъй като кибершпионите са използвали повторно познат преди това зловреден софтуер и злонамерена инфраструктура, създадена за извършване на други прониквания.
„ФИЛМОВИ НЕЩА“
През 2019 г. руският президент Владимир Путин рекламира хиперзвуковата ракета „Циркон“ на NPO Mash като „обещаващ нов продукт“, способен да пътува с около девет пъти скоростта на звука.
Фактът, че севернокорейските хакери може да са се сдобили с информация за Zircon, не означава, че веднага ще имат същата способност, каза Маркъс Шилер, базиран в Европа експерт по ракети, който е проучвал чуждестранна помощ за ракетната програма на Северна Корея.
"Това са филмови неща", каза той. „Получаването на планове няма да ви помогне много при изграждането на тези неща, има много повече от някои чертежи“.
Въпреки това, като се има предвид позицията на NPO Mash като водещ руски проектант и производител на ракети, компанията ще бъде ценна цел, добави Шилер.
„Има много какво да научим от тях“, каза той.
Друга област на интерес може да бъде в производствения процес, използван от NPO Mash околното гориво, казаха експерти. Миналия месец Северна Корея изстреля тестово Hwasong-18, първата от нейните междуконтинентални балистични ракети, използващи твърдо гориво.
Този метод на зареждане с гориво може да позволи по-бързо разгръщане на ракети по време на война, тъй като не изисква зареждане с гориво на стартова площадка, което прави ракетите по-трудни за проследяване и унищожаване преди изстрелване.
NPO Mash произвежда междуконтинентална балистична ракета, наречена SS-19, която се зарежда с гориво във фабриката и се затваря, процес, известен като „ампулизация“ това дава подобен стратегически резултат.
"Трудно е да се направи, защото ракетното гориво, особено окислителят, е много корозивно", каза Джефри Луис, изследовател на ракети в Центъра за изследвания на неразпространението на Джеймс Мартин.
„Северна Корея обяви, че прави същото нещо в края на 2021 г. Ако NPO Mash имаше нещо полезно за тях, то щеше да е начело в моя списък“, добави той.
( Репортаж от Джеймс Пиърсън в Лондон и Кристофър Бинг във Вашингтон; монтаж от Крис Сандърс и Алистър Бел)
