Noticias

Exclusivo: Los hackers norcoreanos entraron en el principal fabricante de misiles ruso / Exclusive: North Korean hackers breached top Russian missile maker

Por James Pearson y Christopher Bing – LONDRES/WASHINGTON, 7 de agosto (Reuters) – Un grupo de élite de hackers norcoreanos violó en secreto las redes informáticas de un importante desarrollador de misiles ruso durante al menos cinco meses el año pasado, según la evidencia técnica revisada por Reuters y el análisis de los investigadores de seguridad.

Reuters encontró que los equipos de ciberespionaje vinculados al gobierno de Corea del Norte, a los que los investigadores de seguridad llaman ScarCruft y Lazarus, instalaron en secreto puertas traseras digitales sigilosas en los sistemas de NPO Mashinostroyeniya, una oficina de diseño de cohetes con sede en Reutov, una pequeña ciudad en las afueras de Moscú.

Reuters no pudo determinar si se tomó algún dato durante la intrusión o qué información pudo haber sido vista. En los meses posteriores a la fuga digital, Pyongyang anunció varios desarrollos en su programa de misiles balísticos prohibido, pero no está claro si esto estaba relacionado con la brecha.

Los expertos dicen que el incidente muestra cómo el país aislado incluso se dirigirá a sus aliados, como Rusia, en un intento por adquirir tecnologías críticas.

La NPO Mashinostroyeniya no respondió a las solicitudes de comentarios de Reuters. La embajada de Rusia en Washington no respondió a una solicitud de comentarios enviada por correo electrónico. La misión de Corea del Norte ante las Naciones Unidas en Nueva York no respondió a una solicitud de comentarios.

La noticia del hackeo llega poco después de un viaje a Pyongyang el mes pasado del ministro de defensa ruso Sergei Shoigu para el 70 aniversario de la Guerra de Corea; la primera visita de un ministro de defensa ruso a Corea del Norte desde la desintegración de la Unión Soviética en 1991.

La compañía objetivo, comúnmente conocida como NPO Mash, ha actuado como un desarrollador pionero de misiles hipersónicos, tecnologías de satélite y armamento balístico de nueva generación, según los expertos en misiles, tres áreas de gran interés para Corea del Norte desde que se embarcó en su misión de crear un Misil Balístico Intercontinental (ICBM) capaz de atacar el territorio continental de

Según los datos técnicos, la intrusión comenzó aproximadamente a finales de 2021 y continuó hasta mayo de 2022, cuando, de acuerdo con las comunicaciones internas de la compañía revisadas por Reuters, los ingenieros de TI detectaron la actividad de los piratas informáticos.

NPO Mash creció a la prominencia durante la Guerra Fría como un importante fabricante de satélites para el programa espacial de Rusia y como proveedor de misiles de crucero.

HACKEO DE CORREO ELECTRÓNICO

Los hackers se adentren en el entorno de TI de la compañía, dándoles la capacidad de leer el tráfico de correo electrónico, saltar entre redes y extraer datos, según Tom Hegel, un investigador de seguridad de la firma de ciberseguridad estadounidense SentinelOne, que inicialmente descubrió el compromiso.

“Estos hallazgos proporcionan una visión poco común de las operaciones cibernéticas clandestinas que tradicionalmente permanecen ocultas del escrutinio público o que simplemente nunca son atrapadas por tales víctimas”, dijo Hegel.

El equipo de analistas de seguridad de Hegel en SentinelOne se enteró del hackeo después de descubrir que un miembro del personal de TI de NPO Mash filtró accidentalmente las comunicaciones internas de su empresa mientras intentaba investigar el ataque de Corea del Norte cargando pruebas a un portal privado utilizado por investigadores de ciberseguridad en todo el mundo.

Cuando Reuters se puso en contacto con él, ese miembro del personal de TI se negó a hacer comentarios.

El lapso proporcionó a Reuters y SentinelOne una instantánea única de una empresa de importancia crítica para el estado ruso que fue sancionada por la administración Obama después de la invasión de Crimea.

Dos expertos independientes en seguridad informática, Nicholas Weaver y Matt Tait, revisaron el contenido del correo electrónico expuesto y confirmaron su autenticidad. Los analistas verificaron la conexión comprobando las firmas criptográficas del correo electrónico con un conjunto de claves controladas por NPO Mash.

“Estoy muy seguro de que los datos son auténticos”, dijo Weaver a Reuters. “La forma en que se expuso la información fue una metida de pata absolutamente hilarante”.

SentinelOne dijo que confiaban en que Corea del Norte estaba detrás del hackeo porque los espías cibernéticos reutilizaron el malware previamente conocido y la infraestructura maliciosa configurada para llevar a cabo otras intrusiones.

“MOVIE STUFF”

En 2019, el presidente ruso, Vladimir Putin, promocionó el misil hipersónico “Zircon” de NPO Mash como un “nuevo producto prometedor”, capaz de viajar a alrededor de nueve veces la velocidad del sonido.

El hecho de que los hackers norcoreanos puedan haber obtenido información sobre el Zircon no significa que tendrían inmediatamente esa misma capacidad, dijo Markus Schiller, un experto en misiles con sede en Europa que ha investigado la ayuda extranjera al programa de misiles de Corea del Norte.

“Eso es cosa de películas”, dijo. “Hacer planes no te ayudará mucho a construir estas cosas, hay mucho más que algunos dibujos”.

Sin embargo, dada la posición de NPO Mash como un importante diseñador y productor de misiles rusos, la compañía sería un objetivo valioso, agregó Schiller.

“Hay mucho que aprender de ellos”, dijo.

Otra área de interés podría ser el proceso de fabricación utilizado por el combustible circundante de NPO Mash, dijeron los expertos. El mes pasado, Corea del Norte puso en marcha el Hwasong-18, el primero de sus ICBM en utilizar propulsores sólidos.

Ese método de abastecimiento de combustible puede permitir un despliegue más rápido de misiles durante la guerra, porque no requiere abastecimiento de combustible en una plataforma de lanzamiento, lo que hace que los misiles sean más difíciles de rastrear y destruir antes del despegue.

NPO Mash produce un ICBM llamado SS-19 que se alimenta en la fábrica y se cierra, un proceso conocido como “amplificación” que produce un resultado estratégico similar.

“Es difícil de hacer porque el propulsor de cohetes, especialmente el oxidante, es muy corrosivo”, dijo Jeffrey Lewis, investigador de misiles en el Centro James Martin de Estudios de No Proliferación.

“Corea del Norte anunció que estaba haciendo lo mismo a finales de 2021. Si NPO Mash tuviera algo útil para ellos, esa sería la parte superior de mi lista”, agregó.

Reportaje de James Pearson en Londres y Christopher Bing en Washington; edición de Chris Sanders y Alistair Bell

más aquí https://www.reuters.com/technology/north-korean-hackers-breached-top-russian-missile-maker-2023-08-07/

Exclusive: North Korean hackers breached top Russian missile maker

By James Pearson and Christopher Bing – LONDON/WASHINGTON, Aug 7 (Reuters) – An elite graoup of North Korean hackers secretly breached computer networks at a major Russian missile developer for at least five months last year, according to technical evidence reviewed by Reuters and analysis by security researchers.

Reuters found cyber-espionage teams linked to the North Korean government, which security researchers call ScarCruft and Lazarus, secretly installed stealthy digital backdoors into systems at NPO Mashinostroyeniya, a rocket design bureau based in Reutov, a small town on the outskirts of Moscow.

Reuters could not determine whether any data was taken during the intrusion or what information may have been viewed. In the months following the digital break-in Pyongyang announced several developments in its banned ballistic missile programme but it is not clear if this was related to the breach.

Experts say the incident shows how the isolated country will even target its allies, such as Russia, in a bid to acquire critical technologies.

NPO Mashinostroyeniya did not respond to requests from Reuters for comment. Russia’s embassy in Washington did not respond to an emailed request for comment. North Korea’s mission to the United Nations in New York did not respond to a request for comment.

News of the hack comes shortly after a trip to Pyongyang last month by Russian defence minister Sergei Shoigu for the 70th anniversary of the Korean War; the first visit by a Russian defence minister to North Korea since the 1991 breakup of the Soviet Union.

The targeted company, commonly known as NPO Mash, has acted as a pioneer developer of hypersonic missiles, satellite technologies and newer generation ballistic armaments, according to missile experts – three areas of keen interest to North Korea since it embarked on its mission to create an Intercontinental Ballistic Missile (ICBM) capable of striking the mainland United States.

According to technical data, the intrusion roughly began in late 2021 and continued until May 2022 when, according to internal communications at the company reviewed by Reuters, IT engineers detected the hackers’ activity.

NPO Mash grew to prominence during the Cold War as a premier satellite maker for Russia’s space programme and as a provider of cruise missiles.

EMAIL HACK

The hackers dug into the company’s IT environment, giving them the ability to read email traffic, jump between networks, and extract data, according to Tom Hegel, a security researcher with U.S. cybersecurity firm SentinelOne, who initially discovered the compromise.

“These findings provide rare insight into the clandestine cyber operations that traditionally remain concealed from public scrutiny or are simply never caught by such victims,” Hegel said.

Hegel’s team of security analysts at SentinelOne learned of the hack after discovering that an NPO Mash IT staffer accidentally leaked his company’s internal communications while attempting to investigate the North Korean attack by uploading evidence to a private portal used by cybersecurity researchers worldwide.

When contacted by Reuters, that IT staffer declined to comment.

The lapse provided Reuters and SentinelOne with a unique snapshot into a company of critical importance to the Russian state which was sanctioned by the Obama administration following the invasion of Crimea.

Two independent computer security experts, Nicholas Weaver and Matt Tait, reviewed the exposed email content and confirmed its authenticity. The analysts verified the connection by checking the email’s cryptographic signatures against a set of keys controlled by NPO Mash.

“I’m highly confident the data’s authentic,” Weaver told Reuters. “How the information was exposed was an absolutely hilarious screwup”.

SentinelOne said they were confident North Korea was behind the hack because the cyber spies re-used previously known malware and malicious infrastructure set up to carry out other intrusions.

‘MOVIE STUFF’

In 2019, Russian President Vladimir Putin touted NPO Mash’s “Zircon” hypersonic missile as a “promising new product”, capable of travelling at around nine times the speed of sound.

The fact North Korean hackers may have obtained information about the Zircon does not mean they would immediately have that same capability, said Markus Schiller, a Europe-based missile expert who has researched foreign aid to North Korea’s missile programme.

“That’s movie stuff,” he said. “Getting plans won’t help you much in building these things, there is a lot more to it than some drawings”.

However, given NPO Mash’s position as a top Russian missile designer and producer, the company would be a valuable target, Schiller added.

“There is much to learn from them,” he said.

Another area of interest could be in the manufacturing process used by NPO Mash surrounding fuel, experts said. Last month, North Korea test-launched the Hwasong-18, the first of its ICBMs to use solid propellants.

That fuelling method can allow for faster deployment of missiles during war, because it does not require fuelling on a launchpad, making the missiles harder to track and destroy before blast-off.

NPO Mash produces an ICBM dubbed the SS-19 which is fuelled in the factory and sealed shut, a process known as “ampulisation” that yields a similar strategic result.

“It’s hard to do because rocket propellant, especially the oxidiser, is very corrosive,” said Jeffrey Lewis, a missile researcher at the James Martin Center for Nonproliferation Studies.

“North Korea announced that it was doing the same thing in late 2021. If NPO Mash had one useful thing for them, that would be top of my list,” he added.

Reporting by James Pearson in London and Christopher Bing in Washington; editing by Chris Sanders and Alistair Bell