.
Dois grupos de hackers norte-coreanos tiveram acesso aos sistemas internos do desenvolvedor russo de mísseis e satélites NPO Mashinostoyeniya por cinco a seis meses, afirmou a empresa de segurança cibernética SentinelOne na segunda-feira. O ataque ilustra os potenciais esforços norte-coreanos para promover o desenvolvimento de mísseis e outras tecnologias militares por meio de espionagem cibernética.
“Nossas descobertas identificam duas instâncias de comprometimento relacionado à Coreia do Norte de infraestrutura de TI interna sensível dentro dessa mesma organização de base industrial de defesa russa (DIB), incluindo um servidor de e-mail específico, juntamente com o uso de um backdoor do Windows chamado OpenCarrot”. disse os pesquisadores de segurança cibernética.
O grupo de hackers ScarCruft, apoiado pelo estado, foi identificado como a força por trás do comprometimento do servidor de e-mail, enquanto o backdoor do Windows foi atribuído ao Lazarus Group. O OpenCarrot foi detectado anteriormente durante as atividades do Lazarus Group. Ele permite o comprometimento total das máquinas infectadas e a coordenação em uma rede infectada.
A variante usada neste incidente “suporta comunicação C2 por proxy através dos hosts da rede interna e diretamente para o servidor externo”, de acordo com os pesquisadores do SentinelOne.
Quanto ao comprometimento do servidor de e-mail, ele fez comunicações de saída para a infraestrutura Sentinelone atribuída ao ator de ameaça ScarCruft.
Os arquivos do OpenCarrot contêm um registro de data e hora de compilação de 1º de dezembro de 2021, que os pesquisadores chamam de “provavelmente autêntico” – o que significa que os agentes da ameaça estiveram no sistema por um período de meses. Além disso, a infraestrutura maliciosa que se comunicava com o servidor de e-mail RedHat do NPO Mash estava em vigor desde novembro de 2021.
A fabricante de foguetes detectou a invasão em maio de 2022, quando funcionários notaram comunicações incomuns entre processos específicos e infraestrutura externa desconhecida. Isso os levou a identificar um arquivo DLL desconhecido em seus sistemas.
Após a detecção, a comunicação da infraestrutura com o servidor de e-mail parou imediatamente – indicando que provavelmente foi monitorado de perto.
Os próprios pesquisadores encontraram evidências das invasões em uma coleção de e-mail vazada durante a “caça e rastreamento usual”. Uma investigação mais aprofundada do arquivo revelou uma intrusão maior, disse SentinelOne – uma que não foi totalmente reconhecida na época pela NPO Mashinostoyeniya.
Durante esses meses entre a invasão e a detecção, os hackers podiam ler e-mails, mover-se entre as redes e extrair dados.
“Reconhecemos um potencial relacionamento de compartilhamento entre os dois atores de ameaças afiliados à RPDC, bem como a possibilidade de que a tarefa considere esse alvo importante o suficiente para atribuir a vários agentes de ameaças independentes”, disse SentinelOne.
A NPO Mashinostoyeniya existe desde a década de 1940, quando foi criada para desenvolver foguetes para os militares soviéticos. Na década de 1960, começou também a projetar mísseis. Em 2014, a empresa foi uma das muitas sancionado pela administração Obama depois que a Rússia invadiu a Crimeia.
Ela projeta e constrói míssil de cruzeiro hipersônico conhecido como Zircon que, de acordo com mídia estatal russapode atingir Mach 8.
Ele também possui IP para ampulização de combustível de foguete – uma técnica pela qual os mísseis são abastecidos e selados na fábrica para permitir uma implantação mais rápida. Em 2021, a Coreia do Norte reivindicado ele usa a técnica em seu míssil hipersônico Hwasong-8.
As relações entre a Rússia e a RPDC têm sido geralmente vistas como cooperativas. Em junho passado, Kim Jong-Un prometido o “apoio total” de seu regime durante uma mensagem que marcou o dia nacional da Rússia.
Mas, de acordo com o SentinelOne, esta campanha de espionagem cibernética “destaca uma brecha potencial nas relações entre a Rússia e a Coreia do Norte, considerando seu relacionamento crescente”. ®
.
