据路透报道,去年一个朝鲜黑客小组,至少有五个月的时间秘密侵入了俄罗斯一家大型导弹开发商的计算机网络。
路透社发现,与朝鲜政府有关联的网络间谍小组(安全研究人员称之为 ScarCruft 和 Lazarus),在 NPO Mashinostroyeniya 的系统中,秘密安装了隐秘的数字后门。这是一家位于莫斯科郊区小镇列乌托夫的火箭设计局。
路透社无法确定这次入侵是否带走了任何数据,也无法确定可能浏览了哪些信息。在数字入侵事件发生后的几个月里,平壤宣布了其被禁止的弹道导弹计划的一些进展,但尚不清楚这是否与入侵事件有关。
专家说,这次事件表明,这个孤立的国家甚至会把目标对准俄罗斯等盟国,以获取关键技术。
俄罗斯国防部长绍伊古上个月前往平壤参加朝鲜战争 70 周年纪念活动,这是自 1991 年苏联解体以来俄罗斯国防部长首次访问朝鲜。
据导弹专家称,这家俗称 “马什”(NPO Mash)的公司,是高超音速导弹、卫星技术和新一代弹道武器的先驱开发商,自从朝鲜开始制造能够打击美国本土的洲际弹道导弹(ICBM)以来,朝鲜对这三个领域非常感兴趣。
根据技术数据,入侵大致始于 2021 年底,一直持续到 2022 年 5 月,根据公司的内部通信,IT 工程师发现了黑客的活动。
NPO Mash作为俄罗斯太空计划的主要卫星制造商和巡航导弹供应商而知名,在入侵克里米亚后受到了奥巴马政府的制裁。
美国网络安全公司 SentinelOne 的安全研究员汤姆·黑格尔表示,黑客侵入了公司的 IT 环境,使他们有能力读取电子邮件、在网络之间跳转并提取数据。
一名 NPO Mash IT 员工在试图调查朝鲜攻击事件时,将证据上传到全球网络安全研究人员使用的一个非公开门户网站,意外泄露了公司的内部通信,黑格尔的 SentinelOne 安全分析师团队得知了这一黑客事件。
两位独立计算机安全专家尼古拉斯·韦弗和马特·泰特审查了被曝光的电子邮件内容,并确认了其真实性。分析师们根据 NPO Mash 控制的一组密钥检查了电子邮件的加密签名,从而验证了两者之间的联系。
韦弗告诉路透社:”我非常确信数据的真实性。”这些信息是如何被曝光的,这绝对是一个令人啼笑皆非的错误。”
SentinelOne 表示,他们确信朝鲜是这次黑客攻击的幕后黑手,因为网络间谍重新使用了之前已知的恶意软件和恶意基础设施,以实施其他入侵。
2019 年,俄罗斯总统普京称赞 NPO Mash 的 “锆石 “高超音速导弹,是 “很有前途的新产品”,其飞行速度约为音速的 9 倍。
研究外国援助朝鲜导弹计划的欧洲导弹专家马库斯·席勒(Markus Schiller)说,朝鲜黑客可能已经获得了 “锆石 “导弹的信息,但这并不意味着他们会立即拥有同样的能力。
他说:”那是电影,拿到图纸对建造这些东西帮助不大,其中的学问远比一些图纸要多得多,虽然从他们身上可以学到很多东西。”
专家说,另一个值得关注的领域,可能是 NPO Mash 围绕燃料所使用的制造工艺。上个月,朝鲜试射了首枚使用固体推进剂的洲际弹道导弹 “火星-18″。
这种燃料方法可以在战争期间更快地部署导弹,因为不需要在发射台上添加燃料,使导弹在发射前更难被跟踪和摧毁。
NPO Mash 公司生产了一种被称为 SS-19 的洲际弹道导弹,这种导弹在工厂内加注燃料,然后密封起来,这种被称为 “”ampulisation( 可以翻译为安瓿密封) “的过程产生了类似的战略效果。
詹姆斯-马丁防扩散研究中心的导弹研究员杰弗里·刘易斯说:”这很难做到,因为火箭推进剂,尤其是氧化剂,具有很强的腐蚀性。朝鲜在 2021 年底也宣布在做同样的事情。”