Российское «НПО машиностроения», одно из ведущих предприятий по производству и разработке ракет и спутников, стало жертвой кибератаки северокорейских хакеров. По данным агентства Reuters , которое опирается на исследования экспертов по кибербезопасности и технические улики, хакеры из групп ScarCruft и Lazarus незаметно проникли в компьютерные сети предприятия и имели доступ к ним не менее пяти месяцев в 2022 году.
Исследователи по киберзащите установили, что хакеры из КНДР тайно внедрили скрытые цифровые бэкдоры в сети «НПО машиностроения», расположенного в Реутове под Москвой. Reuters не смог выяснить, были ли похищены или изучены какие-либо данные за время пребывания хакеров в сетях военно-промышленного завода. После атаки Пхеньян заявил о нескольких достижениях в своей программе баллистических ракет, но связь между этими достижениями и атакой не была обнаружена агентством.
Специалисты отмечают, что инцидент демонстрирует, как изолированная страна атакует своих союзников, таких как Россия, чтобы получить критические технологии. «НПО машиностроения». Посольство России в США и представительство КНДР при ООН не прокомментировали ситуацию по запросу Reuters.
Эксперты по ракетостроению рассказали агентству, что «НПО машиностроения» является лидером в области гиперзвуковых ракет, спутниковых технологий и баллистического вооружения нового поколения. Эти три направления разработок представляют большой интерес для Северной Кореи, которая стремится создать межконтинентальную баллистическую ракету (МБР), способную достичь материковой части США.
По техническим данным, которые изучило агентство, хакеры получили несанкционированный доступ в системы военного-промышленного предприятия в конце 2021 года. Они сохраняли этот доступ до мая 2022 года, когда, согласно внутренним сообщениям компании, изученным Reuters, IT-инженеры обнаружили активность хакеров.
Хакеры пробрались в IT-инфраструктуру компании, что позволило им считывать трафик электронной почты, переключаться между сетями и извлекать данные, рассказал агентству Том Хегель, эксперт по кибербезопасности из компании SentinelOne.
Команда аналитиков безопасности SentinelOne под руководством Хегеля узнала о взломе, когда обнаружила, что IT-сотрудник «НПО машиностроения» случайно выложил внутренние сообщения своей компании: он пытался расследовать северокорейскую атаку, загрузив доказательства на частный портал, используемый исследователями кибербезопасности по всему миру. Когда Reuters связался с IT-специалистом, он отказался от комментариев.
Два независимых эксперта по компьютерной безопасности — Николас Уивер и Мэтт Тейт — проверили содержание электронной почты и подтвердили ее достоверность. Аналитики подтвердили связь, сверив криптографические подписи электронного письма с набором ключей, контролируемых «НПО машиностроения».
В SentinelOne заявили, что за взломом стоит Северная Корея: кибершпионы повторно использовали ранее известное вредоносное ПО и вредоносную инфраструктуру, созданную для проникновения в сети.
Эксперты в области ракетной техники отмечают, что северокорейские хакеры могли быть заинтересованы в информации о гиперзвуковой ракете «Циркон» и технологии «ампулизации» ракетного топлива, которую использует «НПО машиностроения». Европейский эксперт по ракетам Маркус Шиллер, который изучал иностранную помощь ракетной программе Северной Кореи, сказал, что сама компания была важной целью для хакеров: «У них есть чему поучиться».
В июле Северная Корея провела испытательный запуск «Хвасон-18», первой из своих МБР, использующей твердое топливо. Такая форма топлива не требует заправки на стартовой площадке, что затрудняет отслеживание и уничтожение ракет перед запуском. «НПО машиностроения» производит МБР, известную как СС-19, которая заправляется топливом на заводе и герметизируется. По словам исследователя ракет в Центре исследований нераспространения имени Джеймса Мартина Джеффри Льюиса, такая технология могла быть главной целью в списке хакеров. «Северная Корея в конце 2021 года объявила, что делает то же самое», — добавил он.
Источник: SecurityLab