По данным агентства Reuters, элитная группа северокорейских хакеров в течение как минимум пяти месяцев тайно взламывала компьютерные сети военно-промышленной корпорации «НПО Машиностроения» — одного из крупнейших российских разработчиков ракет, в том числе крылатых, баллистических и гиперзвуковых.
Исследователи аналитической компании SentinelOne, специализирующейся в области кибербезопасности, изучили полученные ими данные и пришли к выводу, что группы хакеров ScarCruft и Lazarus, как считается, связанные с Северной Кореей, тайно устанавливали так называемые черные ходы в системы «НПО Машиностроения», через которые могли потенциально получить доступ к секретным данным.
Reuters не удалось выяснить, к каким именно данным хакеры имели доступ. Через несколько месяцев после взлома Пхеньян объявил о некоторых изменениях в своей программе создания баллистических ракет, однако неясно, связано ли это с действиями хакеров и полученной ими информацией.
Хакерские атаки ориентировочно начались в конце 2021-го и продолжалось до мая 2022 года, когда, согласно внутренним сообщениям компании, ее ИТ-инженеры обнаружили подозрительную активность.
Группа аналитиков SentinelOne узнала о взломе после того, как обнаружила, что сотрудник НПО (он отказался от комментария, с просьбой о котором к нему обратилось агентство Reuters) случайно слил внутреннюю переписку своей компании, пытаясь расследовать северокорейскую атаку путем загрузки доказательств на частный портал, используемый исследователями в области кибербезопасности по всему миру.
Два независимых эксперта по компьютерной безопасности, Николас Уивер и Мэтт Тейт, проанализировали содержимое вскрытого электронного письма и подтвердили его подлинность. Аналитики сверили криптографические подписи письма с набором ключей, контролируемых «НПО Машиностроения».
«Я абсолютно уверен в подлинности этих данных, — сказал Уивер агентству Reuters. — То, как информация оказалась раскрыта, стало результатом совершенно уморительной ошибки».
По словам представителей SentinelOne, они уверены, что за взломом стоит Северная Корея, поскольку хакеры использовали уже применявшиеся ранее вредоносные программы и инфраструктуру, созданную для осуществления других хакерских атак, связанных с Пхеньяном.
Ракеты и топливо
По мнению экспертов, этот инцидент наглядно показывает, что в стремлении получить важнейшие технологии находящаяся в изоляции страна может шпионить и за союзниками — в этом случае за Россией.
Как считают эксперты в области ракетной техники, «НПО Машиностроения» — один из первых разработчиков гиперзвуковых ракет, спутниковых технологий и баллистических вооружений нового поколения. С тех пор как Северная Корея приступила к созданию межконтинентальной баллистической ракеты, способной нанести удар по материковой части США, разработки российской компании представляют для Пхеньяна особый интерес.
В 2019 году президент России Владимир Путин сообщил о разработке гиперзвуковой ракеты «Циркон», способной двигаться со скоростью, примерно в девять раз превышающей скорость звука. Ракету разрабатывало «НПО Машиностроения».
Однако даже если северокорейские хакеры сумели добыть данные о «Цирконе», это совершенно не означает, что Пхеньян сразу же получит аналогичный военный потенциал, подчеркивает Маркус Шиллер, европейский эксперт по ракетам, изучавший иностранную помощь северокорейской ракетной программе. Одних чертежей тут недостаточно, полагает он.
Как предполагают эксперты, хакеров мог заинтересовать и процесс производства ракетного топлива, используемый «НПО Машиностроения». В июле Северная Корея провела испытательный пуск ракеты Hwasong-18 — первой МБР, использующей твердотопливные двигатели.
Применение твердого топлива может позволить ускорить развертывание ракет во время боевых действий, поскольку не требует заправки на стартовой площадке, что затрудняет отслеживание и уничтожение ракет до старта.
«НПО Машиностроения» производит баллистические ракеты РС-18, заправленные на заводе топливом в своего рода «ампуле», что дает аналогичный результат.
На запрос агентства Reuters о комментарии в российской военно-промышленной корпорации не ответили. Не ответили и в посольстве России в Вашингтоне, и в постоянном представительстве Северной Кореи при ООН в Нью-Йорке.
Подпишитесь на нашу имейл-рассылку, и каждый вечер с понедельника по пятницу вы будете получать самые основные новости за день, а также контекст, который поможет вам разобраться в происходящем.