Por James Pearson e Christopher Bing
LONDRES/WASHINGTON (Reuters) – Um grupo de elite de hackers norte-coreanos invadiu secretamente redes de computadores em um importante desenvolvedor de mísseis russos por pelo menos cinco meses no ano passado, de acordo com evidências técnicas revisadas pela Reuters e análises de pesquisadores de segurança.
Anúncio
A Reuters descobriu que equipes de ciberespionagem ligadas ao governo norte-coreano, que os pesquisadores de segurança chamam de ScarCruft e Lazarus, instalaram secretamente backdoors digitais furtivos em sistemas da NPO Mashinostroyeniya, um escritório de design de foguetes com sede em Reutov, uma pequena cidade nos arredores de Moscou.
A Reuters não conseguiu determinar se algum dado foi obtido durante a invasão ou quais informações podem ter sido visualizadas. Nos meses seguintes à invasão digital, Pyongyang anunciou vários desenvolvimentos em seu programa de mísseis balísticos proibidos, mas não está claro se isso estava relacionado à violação.
Especialistas dizem que o incidente mostra como o país isolado visa até mesmo seus aliados, como a Rússia, em uma tentativa de adquirir tecnologias críticas.
A NPO Mashinostroyeniya não respondeu aos pedidos de comentários da Reuters. A embaixada da Rússia em Washington não respondeu a um pedido de comentário enviado por e-mail. A missão da Coreia do Norte nas Nações Unidas em Nova York não respondeu a um pedido de comentário.
A notícia do hack veio logo após uma viagem a Pyongyang no mês passado do ministro da Defesa russo, Sergei Shoigu, para o 70º aniversário da Guerra da Coréia; a primeira visita de um ministro da defesa russo à Coreia do Norte desde a dissolução da União Soviética em 1991.
A empresa visada, comumente conhecida como NPO Mash, atuou como desenvolvedora pioneira de mísseis hipersônicos, tecnologias de satélite e armamentos balísticos de última geração, de acordo com especialistas em mísseis – três áreas de grande interesse para a Coreia do Norte desde que embarcou em sua missão de criar um Míssil Balístico Intercontinental (ICBM) capaz de atingir o território continental dos Estados Unidos.
Segundo dados técnicos, a invasão começou aproximadamente no final de 2021 e continuou até maio de 2022, quando, de acordo com comunicações internas da empresa analisadas pela Reuters, engenheiros de TI detectaram a atividade dos hackers.
A NPO Mash ganhou destaque durante a Guerra Fria como a principal fabricante de satélites para o programa espacial da Rússia e como fornecedora de mísseis de cruzeiro.
HACKE DE E-MAIL
Os hackers invadiram o ambiente de TI da empresa, dando-lhes a capacidade de ler o tráfego de e-mail, pular entre as redes e extrair dados, de acordo com Tom Hegel, pesquisador de segurança da empresa norte-americana de segurança cibernética SentinelOne, que inicialmente descobriu o comprometimento.
“Essas descobertas fornecem uma visão rara das operações cibernéticas clandestinas que tradicionalmente permanecem ocultas do escrutínio público ou simplesmente nunca são pegas por essas vítimas”, disse Hegel.
A equipe de analistas de segurança de Hegel no SentinelOne soube do hack depois de descobrir que um funcionário de TI da NPO Mash vazou acidentalmente as comunicações internas de sua empresa enquanto tentava investigar o ataque norte-coreano carregando evidências em um portal privado usado por pesquisadores de segurança cibernética em todo o mundo.
Quando contatado pela Reuters, esse funcionário de TI se recusou a comentar.
O lapso forneceu à Reuters e à SentinelOne uma visão única de uma empresa de importância crítica para o estado russo, que foi sancionada pelo governo Obama após a invasão da Crimeia.
Dois especialistas independentes em segurança de computadores, Nicholas Weaver e Matt Tait, revisaram o conteúdo do e-mail exposto e confirmaram sua autenticidade. Os analistas verificaram a conexão verificando as assinaturas criptográficas do e-mail em relação a um conjunto de chaves controladas pelo NPO Mash.
“Estou muito confiante de que os dados são autênticos”, disse Weaver à Reuters. “Como a informação foi exposta foi uma confusão absolutamente hilária”.
O SentinelOne disse estar confiante de que a Coreia do Norte está por trás do hack porque os espiões cibernéticos reutilizaram malwares conhecidos anteriormente e infraestrutura maliciosa configurada para realizar outras invasões.
‘COISAS DE FILME’
Em 2019, o presidente russo, Vladimir Putin, elogiou o míssil hipersônico “Zircon” da NPO Mash como um “novo produto promissor”, capaz de viajar a cerca de nove vezes a velocidade do som.
O fato de hackers norte-coreanos poderem ter obtido informações sobre o Zircon não significa que eles teriam imediatamente a mesma capacidade, disse Markus Schiller, um especialista em mísseis baseado na Europa que pesquisou a ajuda estrangeira ao programa de mísseis da Coreia do Norte.
“Isso é coisa de filme”, disse ele. “Fazer planos não vai ajudar muito na construção dessas coisas, é muito mais do que alguns desenhos”.
No entanto, dada a posição da NPO Mash como um dos principais projetistas e produtores de mísseis russos, a empresa seria um alvo valioso, acrescentou Schiller.
“Há muito a aprender com eles”, disse ele.
Outra área de interesse pode estar no processo de fabricação usado pelo NPO Mash em torno do combustível, disseram especialistas. No mês passado, a Coreia do Norte lançou o teste Hwasong-18, o primeiro de seus ICBMs a usar propelentes sólidos.
Esse método de abastecimento pode permitir a implantação mais rápida de mísseis durante a guerra, porque não requer abastecimento em uma plataforma de lançamento, tornando os mísseis mais difíceis de rastrear e destruir antes da decolagem.
A NPO Mash produz um ICBM apelidado de SS-19 que é abastecido na fábrica e selado, um processo conhecido como “ampulização” que produz um resultado estratégico semelhante.
“É difícil porque o propelente de foguetes, especialmente o oxidante, é muito corrosivo”, disse Jeffrey Lewis, pesquisador de mísseis do James Martin Center for Nonproliferation Studies.
“A Coreia do Norte anunciou que faria a mesma coisa no final de 2021. Se o NPO Mash tivesse algo útil para eles, estaria no topo da minha lista”, acrescentou.
(Reportagem de James Pearson em Londres e Christopher Bing em Washington; edição de Chris Sanders e Alistair Bell)
Por James Pearson e Christopher Bing
LONDRES/WASHINGTON (Reuters) – Um grupo de elite de hackers norte-coreanos invadiu secretamente redes de computadores em um importante desenvolvedor de mísseis russos por pelo menos cinco meses no ano passado, de acordo com evidências técnicas revisadas pela Reuters e análises de pesquisadores de segurança.
Anúncio
A Reuters descobriu que equipes de ciberespionagem ligadas ao governo norte-coreano, que os pesquisadores de segurança chamam de ScarCruft e Lazarus, instalaram secretamente backdoors digitais furtivos em sistemas da NPO Mashinostroyeniya, um escritório de design de foguetes com sede em Reutov, uma pequena cidade nos arredores de Moscou.
A Reuters não conseguiu determinar se algum dado foi obtido durante a invasão ou quais informações podem ter sido visualizadas. Nos meses seguintes à invasão digital, Pyongyang anunciou vários desenvolvimentos em seu programa de mísseis balísticos proibidos, mas não está claro se isso estava relacionado à violação.
Especialistas dizem que o incidente mostra como o país isolado visa até mesmo seus aliados, como a Rússia, em uma tentativa de adquirir tecnologias críticas.
A NPO Mashinostroyeniya não respondeu aos pedidos de comentários da Reuters. A embaixada da Rússia em Washington não respondeu a um pedido de comentário enviado por e-mail. A missão da Coreia do Norte nas Nações Unidas em Nova York não respondeu a um pedido de comentário.
A notícia do hack veio logo após uma viagem a Pyongyang no mês passado do ministro da Defesa russo, Sergei Shoigu, para o 70º aniversário da Guerra da Coréia; a primeira visita de um ministro da defesa russo à Coreia do Norte desde a dissolução da União Soviética em 1991.
A empresa visada, comumente conhecida como NPO Mash, atuou como desenvolvedora pioneira de mísseis hipersônicos, tecnologias de satélite e armamentos balísticos de última geração, de acordo com especialistas em mísseis – três áreas de grande interesse para a Coreia do Norte desde que embarcou em sua missão de criar um Míssil Balístico Intercontinental (ICBM) capaz de atingir o território continental dos Estados Unidos.
Segundo dados técnicos, a invasão começou aproximadamente no final de 2021 e continuou até maio de 2022, quando, de acordo com comunicações internas da empresa analisadas pela Reuters, engenheiros de TI detectaram a atividade dos hackers.
A NPO Mash ganhou destaque durante a Guerra Fria como a principal fabricante de satélites para o programa espacial da Rússia e como fornecedora de mísseis de cruzeiro.
HACKE DE E-MAIL
Os hackers invadiram o ambiente de TI da empresa, dando-lhes a capacidade de ler o tráfego de e-mail, pular entre as redes e extrair dados, de acordo com Tom Hegel, pesquisador de segurança da empresa norte-americana de segurança cibernética SentinelOne, que inicialmente descobriu o comprometimento.
“Essas descobertas fornecem uma visão rara das operações cibernéticas clandestinas que tradicionalmente permanecem ocultas do escrutínio público ou simplesmente nunca são pegas por essas vítimas”, disse Hegel.
A equipe de analistas de segurança de Hegel no SentinelOne soube do hack depois de descobrir que um funcionário de TI da NPO Mash vazou acidentalmente as comunicações internas de sua empresa enquanto tentava investigar o ataque norte-coreano carregando evidências em um portal privado usado por pesquisadores de segurança cibernética em todo o mundo.
Quando contatado pela Reuters, esse funcionário de TI se recusou a comentar.
O lapso forneceu à Reuters e à SentinelOne uma visão única de uma empresa de importância crítica para o estado russo, que foi sancionada pelo governo Obama após a invasão da Crimeia.
Dois especialistas independentes em segurança de computadores, Nicholas Weaver e Matt Tait, revisaram o conteúdo do e-mail exposto e confirmaram sua autenticidade. Os analistas verificaram a conexão verificando as assinaturas criptográficas do e-mail em relação a um conjunto de chaves controladas pelo NPO Mash.
“Estou muito confiante de que os dados são autênticos”, disse Weaver à Reuters. “Como a informação foi exposta foi uma confusão absolutamente hilária”.
O SentinelOne disse estar confiante de que a Coreia do Norte está por trás do hack porque os espiões cibernéticos reutilizaram malwares conhecidos anteriormente e infraestrutura maliciosa configurada para realizar outras invasões.
‘COISAS DE FILME’
Em 2019, o presidente russo, Vladimir Putin, elogiou o míssil hipersônico “Zircon” da NPO Mash como um “novo produto promissor”, capaz de viajar a cerca de nove vezes a velocidade do som.
O fato de hackers norte-coreanos poderem ter obtido informações sobre o Zircon não significa que eles teriam imediatamente a mesma capacidade, disse Markus Schiller, um especialista em mísseis baseado na Europa que pesquisou a ajuda estrangeira ao programa de mísseis da Coreia do Norte.
“Isso é coisa de filme”, disse ele. “Fazer planos não vai ajudar muito na construção dessas coisas, é muito mais do que alguns desenhos”.
No entanto, dada a posição da NPO Mash como um dos principais projetistas e produtores de mísseis russos, a empresa seria um alvo valioso, acrescentou Schiller.
“Há muito a aprender com eles”, disse ele.
Outra área de interesse pode estar no processo de fabricação usado pelo NPO Mash em torno do combustível, disseram especialistas. No mês passado, a Coreia do Norte lançou o teste Hwasong-18, o primeiro de seus ICBMs a usar propelentes sólidos.
Esse método de abastecimento pode permitir a implantação mais rápida de mísseis durante a guerra, porque não requer abastecimento em uma plataforma de lançamento, tornando os mísseis mais difíceis de rastrear e destruir antes da decolagem.
A NPO Mash produz um ICBM apelidado de SS-19 que é abastecido na fábrica e selado, um processo conhecido como “ampulização” que produz um resultado estratégico semelhante.
“É difícil porque o propelente de foguetes, especialmente o oxidante, é muito corrosivo”, disse Jeffrey Lewis, pesquisador de mísseis do James Martin Center for Nonproliferation Studies.
“A Coreia do Norte anunciou que faria a mesma coisa no final de 2021. Se o NPO Mash tivesse algo útil para eles, estaria no topo da minha lista”, acrescentou.
(Reportagem de James Pearson em Londres e Christopher Bing em Washington; edição de Chris Sanders e Alistair Bell)
Discussão sobre isso post