Reuters сообщил о взломе ведущего российского ракетостроителя хакерами Северной Кореи

Хакерские группировки из Северной Кореи ScarCruft и Lazarus тайно взломали компьютерные сети «НПО машиностроения», крупного производителя и разработчика российских ракет и спутников. Хакеры имели доступ в системы разработчика ракет по меньшей мере пять месяцев в 2022 году, передает Reuters со ссылкой на исследователей по кибербезопасности и технические доказательства взлома, которые изучило агентство.

По данным специалистов по киберзащите, хакеры из КНДР тайно установили скрытые цифровые бэкдоры в системы «НПО машиностроения», базирующегося в подмосковном городе Реутов. Агентству не удалось определить, были ли изъяты или изучены какие-либо данные за время несанкционированного доступа в сети военно-промышленного предприятия. Пхеньян после взлома объявил о нескольких разработках по программе создания баллистических ракет, но данных, что эти разработки связаны со взломом, Reuters не нашел.

Эксперты отметили, что инцидент показывает, как изолированная страна нацеливается на своих союзников, таких как Россия, в попытке приобрести критически важные технологии. «НПО машиностроения», посольство России в Вашингтоне и представительство КНДР при ООН в Нью-Йорке не ответили на запросы Reuters о комментариях. Эксперты по ракетостроению рассказали агентству, что «НПО машиностроения» было пионером в разработке гиперзвуковых ракет, спутниковых технологий и баллистического вооружения нового поколения. Эти три области разработок представляют большой интерес для Северной Кореи, которая пытается создать межконтинентальную баллистическую ракету (МБР), способную нанести удар по материковой части США. 

Согласно техническим данным, которые изучило агентство, хакеры получили несанкционированный доступ в системы военно-промышленного предприятия в конце 2021 года. Этот доступ они имели до мая 2022 года, когда, согласно внутренним сообщениям компании, изученным Reuters, IT-инженеры обнаружили активность хакеров. Хакеры проникли в IT-среду компании, что дало им возможность считывать трафик электронной почты, переключаться между сетями и извлекать данные, рассказал агентству Том Хегель, специалист компании по кибербезопасности SentinelOne.

«Эти данные дают редкое представление о тайных кибероперациях, которые традиционно остаются скрытыми от общественного контроля или просто никогда не обнаруживаются жертвами», — отметил Хегель. Команда аналитиков безопасности SentinelOne во главе с Хегелем узнала о взломе после того, как обнаружила, что IT-сотрудник «НПО машиностроения» случайно слил внутренние сообщения своей компании: он пытался расследовать северокорейскую атаку, загрузив доказательства на частный портал, используемый исследователями кибербезопасности по всему миру. Когда Reuters связалось с этим IT-специалистом, он отказался от комментариев.

Два независимых эксперта по компьютерной безопасности — Николас Уивер и Мэтт Тейт — просмотрели содержимое электронной почты и подтвердили его подлинность. Аналитики подтвердили связь, сверив криптографические подписи электронного письма с набором ключей, контролируемых «НПО машиностроения». «Я абсолютно уверен, что данные подлинные», — сказал Уивер Reuters. В SentinelOne заявили, что за взломом стоит Северная Корея: кибершпионы повторно использовали ранее известное вредоносное ПО и вредоносную инфраструктуру, созданную для проникновения в сети.

Эксперты по ракетам отмечают, что предметом интереса северокорейских хакеров могла быть информация о гиперзвуковой ракете «Циркон» и технология «ампулизации» ракетного топлива, которую использует «НПО машиностроения». Европейский эксперт по ракетам Маркус Шиллер, который исследовал иностранную помощь ракетной программе Северной Кореи, сказал, что сама компания была важной целью для хакеров: «У них есть чему поучиться».

В июле Северная Корея провела испытательный запуск «Хвасон-18», первой из своих МБР, использующей твердое топливо. Такая форма топлива не требует заправки на стартовой площадке, что затрудняет отслеживание и уничтожение ракет перед запуском. «НПО машиностроения» производит МБР, известную как СС-19, которая заправляется топливом на заводе и герметизируется. Этот процесс получил название «ампулизация». По словам исследователя ракет в Центре исследований нераспространения имени Джеймса Мартина Джеффри Льюиса, такая технология могла быть главной целью в списке хакеров. «Северная Корея в конце 2021 года объявила, что делает то же самое», — добавил он.