Група північнокорейських хакерів зламувала комп'ютерні мережі провідного російського розробника ракет протягом щонайменше п'яти місяців минулого року.
У розслідуванні агентства Reuters йдеться, що групи кібершпигунства, пов'язані з урядом Північної Кореї, яких дослідники безпеки називають ScarCruft і Lazarus, таємно встановлювали приховані бекдори в системи «НВО машинобудування», конструкторського бюро, розташованого недалеко від Москви.
«НВО машинобудування» займається розробкою корабельних крилатих ракет, супутникових технологій, гіперзвукових та балістичних ракет.
Агентство не змогло визначити, чи були викрадені будь-які дані під час вторгнення, і яку інформацію можна було переглянути. Через кілька місяців після цифрового злому Пхеньян оголосив про кілька змін у своїй програмі балістичних ракет, але незрозуміло, чи це було пов'язано зі зломом.
Експерти кажуть, цей інцидент показує, що ізольована практично від усього світу країна націлюється навіть на своїх союзників у спробі придбати критично важливі технології.
Вторгнення почалося наприкінці 2021 року і тривало до травня 2022 року, коли російські айтішники виявили активність хакерів.
Хакери проникли до IT-середовища компанії, що дало їм можливість читати поштовий трафік, перемикатися між мережами та витягувати дані, за словами Тома Хегеля, дослідника безпеки з американської компанії SentinelOne, що спеціалізується на кібербезпеці.
Розробки «НВО машинобудування»
Команда Хегеля дізналася про злом після того, як виявила, що співробітник «НВО машинобудування» випадково злив внутрішні повідомлення своєї компанії, пов'язані з північнокорейською атакою, завантаживши їх на портал, що використовується дослідниками кібербезпеки по всьому світу. Коли Reuters зв'язалося із цим співробітником, він відмовився від коментарів.
Два незалежні експерти з комп'ютерної безпеки, Ніколас Уівер та Метт Тейт, вивчили розкритий вміст електронної пошти та підтвердили його справжність. Вони підтвердили з'єднання, звіривши криптографічні підписи електронної пошти з набором ключів, що контролюються «НВО машинобудування».
«Я повністю впевнений, що дані є достовірними, – сказав Вівер. – Те, як інформацію було розкрито, стало абсолютно веселим провалом».
SentinelOne заявила, що вони впевнені, що за зломом стоїть Північна Корея, оскільки кібершпигуни повторно використовували раніше відоме шкідливе ПЗ та шкідливу інфраструктуру, створену для інших вторгнень.
Читайте також
Не один у полі: як бізнес-комʼюніті допомагає підприємцям масштабуватися
Кримінальний тиск на бізнес в Україні: виклики для інвесторів та юридичний захист
