Reuters ontdekte dat cyberspionageteams die banden hebben met de Noord-Koreaanse regering, die door beveiligingsonderzoekers ScarCruft en Lazarus worden genoemd, heimelijk digitale achterdeurtjes hebben geïnstalleerd in systemen van NPO Mashinostroyeniya, een raketontwerpbureau gevestigd in Reutov, een klein stadje aan de rand van Moskou.
Reuters kon niet vaststellen of er tijdens de inbraak gegevens werden buitgemaakt of welke informatie er mogelijk werd bekeken. In de maanden na de digitale inbraak kondigde Pyongyang verschillende ontwikkelingen aan in zijn verboden programma voor ballistische raketten, maar het is niet duidelijk of dit verband hield met de inbraak.
Experts zeggen dat het incident laat zien hoe het geïsoleerde land zelfs zijn bondgenoten, zoals Rusland, zal aanvallen in een poging om cruciale technologieën te verwerven.
NPO Mashinostroyeniya reageerde niet op verzoeken van Reuters om commentaar. De Russische ambassade in Washington reageerde niet op een verzoek om commentaar per e-mail. De missie van Noord-Korea bij de Verenigde Naties in New York reageerde niet op een verzoek om commentaar.
Het nieuws over de hack komt kort na een reis naar Pyongyang vorige maand door de Russische minister van Defensie Sergei Shoigu voor de 70e verjaardag van de Koreaanse Oorlog; het eerste bezoek van een Russische minister van Defensie aan Noord-Korea sinds het uiteenvallen van de Sovjet-Unie in 1991.
Het bedrijf dat het doelwit is, beter bekend als NPO Mash, heeft volgens raketexperts als pionier gefungeerd bij de ontwikkeling van hypersonische raketten, satelliettechnologieën en ballistische wapens van de nieuwere generatie - drie gebieden die van groot belang zijn voor Noord-Korea sinds het begon aan zijn missie om een intercontinentale ballistische raket (ICBM) te maken die het vasteland van de Verenigde Staten kan raken.
Volgens technische gegevens begon de inbraak ongeveer eind 2021 en duurde tot mei 2022 toen, volgens interne communicatie bij het bedrijf die door Reuters is bekeken, IT-technici de activiteit van de hackers ontdekten.
NPO Mash groeide tijdens de Koude Oorlog uit tot een belangrijke satellietproducent voor het Russische ruimtevaartprogramma en leverancier van kruisraketten.
EMAIL HACK
De hackers groeven zich in de IT-omgeving van het bedrijf in, waardoor ze e-mailverkeer konden lezen, van het ene netwerk naar het andere springen en gegevens extraheren, volgens Tom Hegel, een beveiligingsonderzoeker bij het Amerikaanse cyberbeveiligingsbedrijf SentinelOne, die de compromittering in eerste instantie ontdekte.
"Deze bevindingen bieden een zeldzaam inzicht in de clandestiene cyberoperaties die van oudsher verborgen blijven voor publieke controle of simpelweg nooit door dergelijke slachtoffers worden opgemerkt," aldus Hegel.
Hegels team van beveiligingsanalisten bij SentinelOne ontdekte de hack nadat een IT-medewerker van NPO Mash per ongeluk de interne communicatie van zijn bedrijf had gelekt toen hij de Noord-Koreaanse aanval probeerde te onderzoeken door bewijsmateriaal te uploaden naar een privéportaal dat wereldwijd door cyberbeveiligingsonderzoekers wordt gebruikt.
Toen Reuters contact met hem opnam, weigerde de IT-medewerker commentaar te geven.
Het lek leverde Reuters en SentinelOne een unieke momentopname op van een bedrijf dat van cruciaal belang is voor de Russische staat en dat door de regering-Obama op de vingers werd getikt na de invasie van de Krim.
Twee onafhankelijke computerbeveiligingsdeskundigen, Nicholas Weaver en Matt Tait, hebben de blootgelegde e-mailinhoud bekeken en de echtheid ervan bevestigd. De analisten controleerden de verbinding door de cryptografische handtekeningen van de e-mail te vergelijken met een set sleutels die door NPO Mash worden beheerd.
"Ik heb er alle vertrouwen in dat de gegevens authentiek zijn," vertelde Weaver aan Reuters. "Hoe de informatie werd blootgelegd was een absoluut hilarische fout".
SentinelOne zei er zeker van te zijn dat Noord-Korea achter de hack zat, omdat de cyberspionnen eerder bekende malware en schadelijke infrastructuur die was opgezet om andere inbraken uit te voeren, opnieuw gebruikten.
FILMSTUKKEN
In 2019 noemde de Russische president Vladimir Poetin de "Zircon" hypersonische raket van NPO Mash een "veelbelovend nieuw product", dat ongeveer negen keer de geluidssnelheid kan bereiken.
Het feit dat Noord-Koreaanse hackers mogelijk informatie over de Zircon hebben verkregen, betekent niet dat ze onmiddellijk over diezelfde capaciteit zouden beschikken, zei Markus Schiller, een in Europa gevestigde raketexpert die onderzoek heeft gedaan naar buitenlandse hulp aan het raketprogramma van Noord-Korea.
"Dat is filmmateriaal," zei hij. "Plannen krijgen zal je niet veel helpen bij het bouwen van deze dingen, er komt veel meer bij kijken dan wat tekeningen".
Maar gezien de positie van NPO Mash als Russische topontwerper en producent van raketten, zou het bedrijf een waardevol doelwit zijn, voegde Schiller eraan toe.
"Er valt veel van hen te leren," zei hij.
Een ander interessant gebied zou het productieproces kunnen zijn dat NPO Mash gebruikt om brandstof te omringen, zeiden experts. Vorige maand testte Noord-Korea de Hwasong-18, de eerste van zijn ICBM's die vaste stuwstoffen gebruikt.
Deze brandstofmethode kan een snellere inzet van raketten tijdens een oorlog mogelijk maken, omdat er geen brandstof op een lanceerplatform nodig is, waardoor de raketten moeilijker op te sporen en te vernietigen zijn voordat ze afgeschoten worden.
NPO Mash produceert een ICBM met de naam SS-19 die in de fabriek van brandstof wordt voorzien en wordt afgesloten, een proces dat bekend staat als "ampulisatie" en dat een vergelijkbaar strategisch resultaat oplevert.
"Het is moeilijk om te doen omdat raketdrijfgas, vooral de oxidator, erg corrosief is," zegt Jeffrey Lewis, een raketonderzoeker bij het James Martin Center for Nonproliferation Studies.
"Noord-Korea kondigde eind 2021 aan hetzelfde te doen. Als NPO Mash één nuttig ding voor hen had, zou dat bovenaan mijn lijst staan," voegde hij eraan toe. (Verslaggeving door James Pearson in Londen en Christopher Bing in Washington; bewerking door Chris Sanders en Alistair Bell)
