- Hackeři prolomili systémy v NPO Mashinostroyeniya Ruská firma vyrábí hypersonické střely, satelityObjev přichází krátce poté, co ruský ministr obrany navštíví Pchjongjang
LONDÝN/WASHINGTON, 7. srpna (Reuters) – Podle technických důkazů, které přezkoumala agentura Reuters, a analýzy bezpečnostních výzkumníků, elitní skupina severokorejských hackerů v loňském roce tajně narušovala počítačové sítě u významného ruského vývojáře raket po dobu nejméně pěti měsíců.
Agentura Reuters zjistila, že týmy kybernetické špionáže napojené na severokorejskou vládu, kterou bezpečnostní výzkumníci nazývají ScarCruft a Lazarus, tajně instalovaly tajná digitální zadní vrátka do systémů v NPO Mashinostroyeniya, kanceláři pro návrh raket se sídlem v Reutově, malém městě na okraji Moskvy.
Agentura Reuters nedokázala určit, zda byla během vniknutí pořízena nějaká data nebo jaké informace mohly být zobrazeny. V měsících následujících po digitálním vloupání Pchjongjang oznámil několik změn ve svém zakázaném programu balistických raket, ale není jasné, zda to souviselo s narušením.
Experti tvrdí, že incident ukazuje, jak se izolovaná země dokonce zaměří na své spojence, jako je Rusko, ve snaze získat důležité technologie.
NPO Mashinostroyeniya nereagovala na žádosti agentury Reuters o komentář. Ruská ambasáda ve Washingtonu neodpověděla na e-mailovou žádost o vyjádření. Severokorejská mise při OSN v New Yorku na žádost o komentář nereagovala.
Zpráva o hacku přichází krátce po cestě ruského ministra obrany Sergeje Šojgu do Pchjongjangu minulý měsíc u příležitosti 70. výročí korejské války; první návštěva ruského ministra obrany v Severní Koreji od rozpadu Sovětského svazu v roce 1991.
Cílová společnost, běžně známá jako NPO Mash, působila jako průkopník ve vývoji hypersonických střel, satelitních technologií a nové generace balistické výzbroje, podle raketových expertů – tři oblasti, které Severní Koreu velmi zajímají od té doby, co se pustila do své mise vytvořit Mezikontinentální balistická střela (ICBM) schopná zasáhnout pevninu Spojených států.
Podle technických údajů začalo narušení zhruba koncem roku 2021 a pokračovalo až do května 2022, kdy podle interní komunikace společnosti, kterou přezkoumala agentura Reuters, IT inženýři odhalili aktivitu hackerů.
NPO Mash se během studené války prosadil jako přední výrobce satelitů pro ruský vesmírný program a jako poskytovatel řízených střel.
HACK EMAILU
Podle Toma Hegela, bezpečnostního výzkumníka americké firmy SentinelOne, který původně objevil kompromis, hackeři pronikli do IT prostředí společnosti a dali jim možnost číst e-mailový provoz, přeskakovat mezi sítěmi a extrahovat data.
“Tato zjištění poskytují vzácný pohled na tajné kybernetické operace, které tradičně zůstávají skryty před veřejnou kontrolou nebo je takové oběti prostě nikdy nezachytí,” řekl Hegel.
Hegelův tým bezpečnostních analytiků ze SentinelOne se o hacku dozvěděl poté, co zjistil, že pracovník IT NPO Mash omylem unikl interní komunikaci jeho společnosti, když se pokoušel vyšetřit severokorejský útok nahráním důkazů na soukromý portál používaný výzkumníky kybernetické bezpečnosti po celém světě.
Když jej kontaktovala agentura Reuters, tento pracovník IT odmítl komentovat.
Tato chyba poskytla agenturám Reuters a SentinelOne jedinečný snímek společnosti zásadního významu pro ruský stát, která byla po invazi na Krym sankcionována Obamovou administrativou.
Dva nezávislí experti na počítačovou bezpečnost, Nicholas Weaver a Matt Tait, zkontrolovali vystavený obsah e-mailu a potvrdili jeho pravost. Analytici ověřili spojení kontrolou kryptografických podpisů e-mailu se sadou klíčů kontrolovaných NPO Mash.
“Jsem si velmi jistý, že data jsou autentická,” řekla Weaverová agentuře Reuters. „To, jak byly informace odhaleny, byl naprosto veselý průšvih“.
SentinelOne uvedli, že jsou přesvědčeni, že za hackem stojí Severní Korea, protože kyberšpioni znovu použili dříve známý malware a zákeřnou infrastrukturu nastavenou k provádění dalších průniků.
‘FILMOVÉ VĚCI’
V roce 2019 ruský prezident Vladimir Putin nabízel hypersonickou střelu „Zircon“ NPO Mash jako „slibný nový produkt“, který je schopen cestovat rychlostí přibližně devítinásobku rychlosti zvuku.
Skutečnost, že severokorejští hackeři mohli získat informace o Zirconu, neznamená, že by okamžitě měli stejnou schopnost, řekl Markus Schiller, evropský raketový expert, který zkoumal zahraniční pomoc severokorejskému raketovému programu.
“To je film,” řekl. “Získání plánů vám při budování těchto věcí moc nepomůže, je v tom mnohem víc než jen nějaké kresby.”
Nicméně vzhledem k postavení NPO Mash jako špičkového ruského konstruktéra a výrobce raket by společnost byla cenným cílem, dodal Schiller.
“Je toho hodně, co se od nich můžeme naučit,” řekl.
Další oblastí zájmu by mohl být výrobní proces používaný organizací NPO Mash obklopující palivo, uvedli odborníci. Minulý měsíc Severní Korea testovala Hwasong-18, první ze svých ICBM, který používal tuhé pohonné hmoty.
Tento způsob doplňování paliva může umožnit rychlejší rozmístění střel během války, protože nevyžaduje doplňování paliva na odpalovací rampě, což ztěžuje sledování a zničení střel před odpálením.
NPO Mash vyrábí ICBM přezdívaný SS-19, který je v továrně napájen palivem a uzavřen, proces známý jako „ampulizace“, který přináší podobný strategický výsledek.
“Je to těžké, protože raketový pohon, zejména oxidační činidlo, je velmi korozivní,” řekl Jeffrey Lewis, výzkumník raket z James Martin Center for Nonproliferation Studies.
“Severní Korea oznámila, že dělá totéž na konci roku 2021. Pokud by pro ně NPO Mash měla jednu užitečnou věc, byla by na prvním místě mého seznamu,” dodal.
Reportáž Jamese Pearsona v Londýně a Christophera Binga ve Washingtonu; střih Chris Sanders a Alistair Bell
Naše standardy: Thomson Reuters Trust Principles.
James Pearson
Christopher Bing