Reuters je otkrio da su timovi cyber špijunaže povezani sa vladom Sjeverne Koreje, koju istraživači sigurnosti nazivaju ScarCruft i Lazarus, tajno instalirali skrivena digitalna pozadinska vrata u sisteme u NPO Mashinostroyeniya, birau za projektovanje raketa sa sjedištem u Reutovu, malom gradu na periferiji Moskve.
Reuters nije mogao utvrditi da li su neki podaci uzeti tokom upada ili koje informacije su možda pregledane. U mjesecima nakon digitalnog prodora Pjongjang je najavio nekoliko razvoja svog zabranjenog programa balističkih projektila, ali nije jasno da li je to povezano s probojem.
Stručnjaci kažu da incident pokazuje kako će ta izolovana zemlja čak ciljati svoje saveznike, poput Rusije, u pokušaju da nabavi kritične tehnologije.
NPO Mashinostroyeniya nije odgovorila na zahtjeve Reutersa za komentar. Ruska ambasada u Washingtonu nije odgovorila na zahtjev za komentar putem e-pošte. Misija Sjeverne Koreje pri Ujedinjenim nacijama u New Yorku nije odgovorila na zahtjev za komentar.
Vijest o hakiranju dolazi ubrzo nakon prošlomjesečnog putovanja ruskog ministra odbrane Sergeja Šojgua u Pjongjang na 70. godišnjicu Korejskog rata; prva posjeta ruskog ministra odbrane Sjevernoj Koreji od raspada Sovjetskog Saveza 1991. godine.
Ciljana kompanija, opšte poznata kao NPO Mash, djelovala je kao pionir u razvoju hipersoničnih raketa, satelitskih tehnologija i balističkog naoružanja novije generacije, prema ekspertima za rakete – tri oblasti od velikog interesa za Sjevernu Koreju otkako je započela svoju misiju stvaranja Interkontinentalna balistička raketa (ICBM) sposobnih da pogode kopno Sjedinjenih Država.
Prema tehničkim podacima, upad je otprilike počeo krajem 2021. i nastavio se do maja 2022. kada su, prema internoj komunikaciji u kompaniji koju je pregledao Reuters, IT inženjeri otkrili aktivnost hakera.
NPO Mash je postao istaknut tokom Hladnog rata kao glavni proizvođač satelita za ruski svemirski program i kao dobavljač krstarećih projektila.
EMAIL HACK
Hakeri su se ukopali u IT okruženje kompanije, ostvarujući mogućnost da čitaju promet e-pošte, prelaze između mreža i izvlače podatke, prema Tomu Hegelu, istraživaču sigurnosti u američkoj firmi za cyber sigurnost SentinelOne, koji je prvobitno otkrio proboj.
"Ovi nalazi pružaju rijedak uvid u tajne cyber operacije koje su tradicionalno skrivene od javnosti ili ih kao takve žrtve jednostavno nikada ne uhvate", rekao je Hegel.
Hegelov tim sigurnosnih analitičara u SentinelOneu saznao je za proboj nakon što je otkrio da je zaposlenik NPO Mash IT slučajno procurio interne komunikacije njegove kompanije dok je pokušavao istražiti napad Sjeverne Koreje postavljanjem dokaza na privatni portal koji koriste istraživači kibernetičke sigurnosti širom svijeta.
Kada ga je Reuters kontaktirao, taj IT službenik je odbio da komentariše.
Ovaj propust je Reutersu i SentinelOneu pružio jedinstvenu sliku kompanije od kritične važnosti za rusku državu koju je Obamina administracija sankcionirala nakon invazije na Krim.
Dva nezavisna stručnjaka za kompjutersku bezbjednost, Nicholas Weaver i Matt Tait, pregledali su izloženi sadržaj e-pošte i potvrdili njegovu autentičnost. Analitičari su potvrdili vezu provjeravajući kriptografske potpise e-pošte u odnosu na set ključeva koje kontrolira NPO Mash.
"Veoma sam siguran da su podaci autentični", rekao je Weaver za Reuters. "Način na koji su informacije razotkrivene bio je apsolutno urnebesan."
SentinelOne je rekao da su uvjereni da Sjeverna Koreja stoji iza hakovanja jer su cyber špijuni ponovo koristili ranije poznati zlonamjerni softver i zlonamjernu infrastrukturu postavljenu za druge upade.
'FILMSKE STVARI'
Ruski predsjednik Vladimir Putin je 2019. godine reklamirao hipersoničnu raketu NPO Mash "Cirkon" kao "novi proizvod koji obećava", sposoban da putuje oko devet puta većom brzinom od zvuka.
Činjenica da su sjevernokorejski hakeri možda došli do informacija o Cirkonu ne znači da bi odmah imali istu sposobnost, rekao je Markus Schiller, evropski stručnjak za rakete koji je istraživao stranu pomoć sjevernokorejskom raketnom programu.
"To su filmske stvari", rekao je. "Dobijanje planova vam neće mnogo pomoći u izgradnji ovih stvari, tu je mnogo više od nekih crteža."
Međutim, s obzirom na poziciju NPO Mash kao vrhunskog ruskog dizajnera i proizvođača projektila, kompanija bi bila vrijedna meta, dodao je Schiller.
"Može se mnogo naučiti od njih," rekao je.
Druga oblast interesovanja mogla bi biti u proizvodnom procesu koji koristi NPO Mash oko goriva, kažu stručnjaci. Prošlog mjeseca, Sjeverna Koreja je probno lansirala Hwasong-18, prvu od njenih ICBM-a koja koristi čvrsta goriva.
Taj način dopunjavanja goriva može omogućiti brže raspoređivanje projektila tokom rata, jer ne zahtijeva punjenje goriva na lansirnoj rampi, što otežava praćenje i uništavanje projektila prije eksplodiranja.
NPO Mash proizvodi ICBM nazvan SS-19 koji se puni gorivom u fabrici i zatvoren je, proces poznat kao "ampulizacija" koji daje sličan strateški rezultat.
"To je teško učiniti jer je raketno gorivo, posebno oksidator, vrlo korozivno", rekao je Jeffrey Lewis, istraživač projektila u James Martin Centru za studije neproliferacije.
"Sjeverna Koreja je objavila da radi istu stvar krajem 2021. Da NPO Mash ima jednu korisnu stvar za njih, to bi bilo na vrhu moje liste", dodao je.
