Um grupo de elite de hackers norte-coreanos invadiu secretamente as redes de computadores de um importante desenvolvedor russo de mísseis por pelo menos cinco meses no ano passado, de acordo com evidências técnicas revisadas pela Reuters e análises de pesquisadores de segurança.
A Reuters descobriu que equipes de ciberespionagem ligadas ao governo norte-coreano, que os pesquisadores de segurança chamam de ScarCruft e Lazarus, instalaram secretamente backdoors digitais em sistemas da NPO Mashinostroyeniya, um centro de desenvolvimento de foguetes com sede em Reutov, uma pequena cidade nos arredores de Moscou.
A Reuters não conseguiu determinar se algum dado foi obtido durante a invasão ou quais informações podem ter sido visualizadas. Nos meses seguintes à invasão digital, Pyongyang anunciou vários desenvolvimentos em seu programa de mísseis balísticos proibido, mas não está claro se o anúncio estava relacionado à violação.
A NPO Mashinostroyeniya, a embaixada da Rússia em Washington e a missão da Coreia do Norte nas Nações Unidas em Nova York não responderam aos pedidos de comentários.
A notícia do ataque veio logo após uma viagem do ministro da Defesa russo, Sergei Shoigu, a Pyongyang, no mês passado, para o 70º aniversário da Guerra da Coreia; a primeira visita de um ministro da Defesa russo à Coreia do Norte desde a dissolução da União Soviética em 1991.
A empresa afetada, conhecida como NPO Mash, atuou como desenvolvedora pioneira de mísseis hipersônicos, tecnologias de satélite e armamentos balísticos de última geração, de acordo com especialistas em mísseis – três áreas de grande interesse para a Coreia do Norte desde que embarcou em sua missão de criar um Míssil Balístico Intercontinental (ICBM) capaz de atingir o território continental dos Estados Unidos.
De acordo com dados técnicos, a invasão começou aproximadamente no final de 2021 e continuou até maio de 2022, quando, de acordo com as comunicações internas da empresa analisadas pela Reuters, os engenheiros de TI detectaram a atividade dos hackers.
A NPO Mash ganhou destaque durante a Guerra Fria como importante fabricante de satélites para o programa espacial da Rússia e como fornecedora de mísseis de cruzeiro.
INVASÃO DE E-MAIL
Os hackers invadiram o ambiente de tecnologia da informação da empresa, permitindo a leitura do tráfego de e-mail, conseguindo transitar entre redes e extraindo dados, de acordo com Tom Hegel, pesquisador de segurança da empresa norte-americana de segurança cibernética SentinelOne, que inicialmente descobriu a invasão.
A equipe de analistas de segurança de Hegel no SentinelOne soube da invasão depois de descobrir que um funcionário da NPO Mash vazou acidentalmente as comunicações internas da empresa enquanto tentava investigar o ataque norte-coreano carregando evidências em um portal privado usado por pesquisadores de segurança digital em todo o mundo.
Quando contatado pela Reuters, o funcionário se recusou a comentar.
Dois especialistas independentes em segurança de computadores, Nicholas Weaver e Matt Tait, revisaram o conteúdo do e-mail exposto e confirmaram sua autenticidade. “Estou muito confiante de que os dados são autênticos”, disse Weaver à Reuters. “Como a informação foi exposta foi uma bagunça absolutamente hilária”.
O SentinelOne disse estar confiante de que a Coreia do Norte está por trás da invasão porque os espiões reutilizaram malwares conhecidos anteriormente e infraestrutura maliciosa configurada para realizar outras invasões.