Хакери з КНДР зламали провідного російського виробника ракет – Reuters

Елітна група північнокорейських хакерів таємно зламувала комп'ютерні мережі російської компанії "НПО Машинобудування", що виробляє гіперзвукові ракети.

Про це пише Reuters із посиланням на технічні докази, з якими ознайомилось агентство, та аналіз дослідників кібербезпеки.

Reuters виявило, що пов'язані з північнокорейським урядом команди кібершпигунів, які дослідники називають ScarCruft і Lazarus, таємно встановили приховані цифрові бекдори в системи НВО "Машинобудування" - конструкторського бюро з розробки ракет, розташованого в Реутові, невеликому містечку на околиці Москви.

"Reuters не змогло визначити, чи були отримані якісь дані під час вторгнення або яка саме інформація могла бути переглянута. Протягом кількох місяців після злому Пхеньян оголосив про кілька розробок у своїй програмі балістичних ракет, але незрозуміло, чи було це пов'язано з цим зломом.

Експерти кажуть, що цей інцидент показує, як ізольована країна може нападати навіть на своїх союзників, таких як Росія, в спробі отримати критичні технології", - - пише агентство.

НВО "Машинобудування" не відповіло на запити Reuters про коментарі. Посольство Росії у Вашингтоні не відповіло на електронний запит про коментарі. Місія Північної Кореї в ООН в Нью-Йорку також не відповіла на запит про коментарі.

Новина про злом з'явилася незабаром після поїздки до Пхеньяна минулого місяця міністра оборони РФ Сергія Шойгу - це був перший візит російського міністра оборони до Північної Кореї з моменту розпаду Радянського Союзу в 1991 році.

За словами експертів з ракетних технологій, компанія-мішень, широко відома як НВО "Маш", була піонером у розробці гіперзвукових ракет, супутникових технологій і балістичних озброєнь нового покоління - трьох сфер, які становлять особливий інтерес для Північної Кореї відтоді, як вона розпочала свою місію зі створення міжконтинентальної балістичної ракети, здатної завдати удару по континентальній частині Сполучених Штатів.

Згідно з технічними даними, кібератака почалася приблизно наприкінці 2021 року і тривала до травня 2022 року, коли, згідно з внутрішніми комунікаціями компанії, з якими ознайомилося агентство Reuters, ІТ-інженери виявили активність хакерів.

НВО "Маш" стало відомим за часів холодної війни як провідний виробник супутників для російської космічної програми та як постачальник крилатих ракет.

За словами дослідника безпеки з американської фірми з кібербезпеки SentinelOne Тома Хегеля, який першим виявив атаку, хакери проникли в ІТ-середовище компанії, що дало їм можливість читати трафік електронної пошти, переходити між мережами і витягувати дані.

"Ці знахідки дають рідкісне уявлення про таємні кібероперації, які традиційно залишаються прихованими від громадського контролю або просто ніколи не потрапляють до рук жертв", - сказав Гегель.

Команда аналітиків з безпеки SentinelOne, яку очолює Гегель, дізналася про злом після того, як виявила, що співробітник НКО Mash IT випадково вивантажив внутрішні комунікації своєї компанії, намагаючись розслідувати північнокорейську атаку, завантаживши докази на приватний портал, яким користуються дослідники кібербезпеки з усього світу.

Коли Reuters зв'язалося з цим ІТ-спеціалістом, він відмовився від коментарів.

Два незалежні експерти з комп'ютерної безпеки, Ніколас Вівер і Метт Тейт, проаналізували викритий вміст електронної пошти і підтвердили його автентичність. 

"Я абсолютно впевнений, що дані автентичні", - сказав Вівер в інтерв'ю Reuters. "Те, як інформація була викрита, було абсолютно безглуздою помилкою", - додав він.

У SentinelOne заявили, що впевнені, що за зломом стоїть Північна Корея, оскільки кібершпигуни повторно використовували раніше відоме шкідливе програмне забезпечення і шкідливу інфраструктуру, створену для здійснення інших вторгнень.

Економічна правда