Хакери от КНДР са проникнали в руската компанията, разработила хиперзвуковата ракета "Циркон"

Елитна група севернокорейски хакери тайно е пробивала компютърните мрежи на голям руски разработчик на ракети, в продължение на поне пет месеца миналата година, според технически доказателства и анализ на изследователи в областта на сигурността, предоставени на Reuters.

От Reuters са установили, че екипи за кибершпионаж, свързани със севернокорейското правителство, които изследователите на сигурността наричат ScarCruft и Lazarus, тайно са инсталирали скрити цифрови задни врати в системите на НПО Mashinostroyeniya, бюро за проектиране на ракети, базирано в Реутов, малък град в покрайнините на Москва.

Reuters не може да установи дали по време на проникването са взети някакви данни и каква информация може да е била прегледана. В месеците след цифровия пробив Пхенян обяви няколко развития в забранената си програма за балистични ракети, но не е ясно дали това е свързано с пробива.

Експертите твърдят, че инцидентът показва как изолираната страна ще се насочи дори към своите съюзници, като например Русия, в опит да се сдобие с критични технологии.

Новината за хакерската атака идва малко след пътуването на руския министър на отбраната Сергей Шойгу до Пхенян миналия месец по повод 70-годишнината от Корейската война. Това е първото посещение на руски министър на отбраната в Северна Корея след разпадането на Съветския съюз през 1991 г.

Според ракетни експерти компанията, която е набелязана за мишена, известна като НПО Mash, е била пионер в разработването на хиперзвукови ракети, сателитни технологии и балистично въоръжение от по-ново поколение, три области, които представляват голям интерес за Северна Корея, откакто тя започна мисията си за създаване на междуконтинентална балистична ракета (МБР), способна да порази континенталната част на САЩ.

Според техническите данни проникването е започнало приблизително в края на 2021 г. и е продължило до май 2022 г., когато според вътрешни съобщения в компанията, прегледани от британската агенция, ИТ инженерите са засекли дейността на хакерите.

НПО Mash придобива известност по време на Студената война като водещ производител на сателити за руската космическа програма и като доставчик на крилати ракети.

Според Том Хегел, изследовател в областта на сигурността от американската фирма за киберсигурност SentinelOne, който първоначално открива компромата, хакерите са проникнали в ИТ средата на компанията, което им е дало възможност да четат трафика на електронната поща, да преминават между мрежите и да извличат данни.

"Тези констатации дават поглед върху тайните кибероперации, които традиционно остават скрити от обществения контрол или просто никога не са улавяни", е коментирал Хегел.

Екипът на Хегел от анализатори по сигурността в SentinelOne научава за хакерската атака, след като открива, че ИТ служител на НПО Mash случайно е изнесъл вътрешните комуникации на компанията си, докато се е опитвал да разследва севернокорейската атака, като е качвал доказателства в частен портал, използван от изследователи по киберсигурност в цял свят.

Когато британската медия се свързва с него, този ИТ служител отказва коментар.

Пропускът е предоставил на медията и SentinelOne уникален поглед на компания от критично значение за руската държава, която е санкционирана от администрацията на Обама след нахлуването в Крим.

Двама независими експерти по компютърна сигурност, Никълъс Уивър и Мат Тейт, са прегледали съдържанието на изложените имейли и са потвърдили тяхната автентичност. Анализаторите проверит връзката, като анализирали криптографските подписи на имейла спрямо набор от ключове, контролирани от НПО Mash.

"Убеден съм, че данните са автентични", е заявил Уивър. "Начинът, по който информацията е била разкрита, е много нелепа грешка".

От SentinelOne са заявили, че са сигурни, че Северна Корея стои зад хакерската атака, тъй като кибершпионите са използвали отново известен преди това зловреден софтуер и злонамерена инфраструктура, създадена за извършване на други атаки.

Като на филм

През 2019 г. руският президент Владимир Путин представи хиперзвуковата ракета "Циркон" на НПО Mash като "обещаващ нов продукт", способен да се движи със скорост около девет пъти по-висока от скоростта на звука.

Фактът, че севернокорейските хакери може да са получили информация за "Циркон", не означава, че веднага ще разполагат със същата способност, е коментирал Маркус Шилер, европейски експерт по ракетите, който е изследвал чуждестранната помощ за ракетната програма на Северна Корея.

"Това са филмови материали", е заявил той. "Получаването на планове няма да ви помогне много в изграждането на тези неща, има много повече от чертежи".

"Като се има предвид позицията на НПО Mash като водещ руски конструктор и производител на ракети, компанията е значима цел" е добавил Шилер.

"Има какво да научим от тях", е констатирал той.

Друга сфера на интерес би могла да бъде производственият процес, използван от НПО Mash за обграждане на горивото, са заявили експерти. Миналия месец Северна Корея изстреля тестово Hwasong-18, първата от нейните МБР, която използва твърди горива.

Този метод на зареждане с гориво може да позволи по-бързото разгръщане на ракетите по време на война, тъй като не изисква зареждане с гориво на стартовата площадка, което прави ракетите по-трудни за проследяване и унищожаване преди изстрелването им.