Хакеры из КНДР взломали ведущего российского производителя ракет – Reuters

Элитная группа северокорейских хакеров тайно взламывала компьютерные сети российской компании "НПО Машиностроения", производящей гиперзвуковые ракеты.

Об этом пишет Reuters со ссылкой на технические доказательства, с которыми ознакомилось агентство, и анализ исследователей кибербезопасности.

Reuters обнаружило, что связанные с северокорейским правительством команды кибершпионов, которые исследователи называют ScarCruft и Lazarus, тайно установили скрытые цифровые бэкдоры в системы НПО "Машиностроение" - конструкторского бюро по разработке ракет, расположенного в Реутове, небольшом городке на окраине Москвы.

"Reuters не смогло определить, были ли получены какие-либо данные во время вторжения или какая именно информация могла быть просмотрена. В течение нескольких месяцев после взлома Пхеньян объявил о нескольких разработках в своей программе баллистических ракет, но непонятно, было ли это связано с этим взломом.

Эксперты говорят, что этот инцидент показывает, как изолированная страна может нападать даже на своих союзников, таких как Россия, в попытке получить критические технологии", - пишет агентство.

НПО "Машиностроение" не ответило на запросы Reuters о комментариях. Посольство России в Вашингтоне не ответило на электронный запрос о комментариях. Миссия Северной Кореи в ООН в Нью-Йорке также не ответила на запрос о комментариях.

Новость о взломе появилась вскоре после поездки в Пхеньян в прошлом месяце министра обороны РФ Сергея Шойгу - это был первый визит российского министра обороны в Северную Корею с момента распада Советского Союза в 1991 году.

По словам экспертов по ракетным технологиям, компания-мишень, широко известная как НПО "Маш", была пионером в разработке гиперзвуковых ракет, спутниковых технологий и баллистических вооружений нового поколения - трех сфер, которые представляют особый интерес для Северной Кореи с тех пор, как она начала свою миссию по созданию межконтинентальной баллистической ракеты, способной нанести удар по континентальной части Соединенных Штатов.

Согласно техническим данным, кибератака началась примерно в конце 2021 года и продолжалась до мая 2022 года, когда, согласно внутренним коммуникациям компании, с которыми ознакомилось агентство Reuters, ИТ-инженеры обнаружили активность хакеров.

НПО "Маш" стало известным во времена холодной войны как ведущий производитель спутников для российской космической программы и как поставщик крылатых ракет.

По словам исследователя безопасности из американской фирмы по кибербезопасности SentinelOne Тома Хегеля, который первым обнаружил атаку, хакеры проникли в ИТ-среду компании, что дало им возможность читать трафик электронной почты, переходить между сетями и извлекать данные.

"Эти находки дают редкое представление о тайных кибероперациях, которые традиционно остаются скрытыми от общественного контроля или просто никогда не попадают в руки жертв", - сказал Гегель.

Команда аналитиков по безопасности SentinelOne, которую возглавляет Гегель, узнала о взломе после того, как обнаружила, что сотрудник НКО Mash IT случайно выгрузил внутренние коммуникации своей компании, пытаясь расследовать северокорейскую атаку, загрузив доказательства на частный портал, которым пользуются исследователи кибербезопасности со всего мира.

Когда Reuters связалось с этим IТ-специалистом, он отказался от комментариев.

Два независимых эксперта по компьютерной безопасности, Николас Уивер и Мэтт Тейт, проанализировали разоблаченное содержимое электронной почты и подтвердили его подлинность.

"Я абсолютно уверен, что данные аутентичны", - сказал Уивер в интервью Reuters. "То, как информация была разоблачена, было абсолютно нелепой ошибкой", - добавил он.

В SentinelOne заявили, что уверены, что за взломом стоит Северная Корея, поскольку кибершпионы повторно использовали ранее известное вредоносное программное обеспечение и вредоносную инфраструктуру, созданную для осуществления других вторжений.

Экономическая правда