LONDRES/WASHINGTON, 7 ago (Reuters) – Un grupo de élite de hackers norcoreanos violó en secreto las redes informáticas de un importante desarrollador ruso de misiles durante al menos cinco meses el año pasado, según evidencia técnica revisada por Reuters y análisis de investigadores de seguridad.
Reuters descubrió que equipos de ciberespionaje vinculados al gobierno de Corea del Norte, que los investigadores de seguridad llaman ScarCruft y Lazarus, instalaron en secreto puertas traseras digitales sigilosas en los sistemas de NPO Mashinostroyeniya, una oficina de diseño de cohetes con sede en Reutov, una pequeña ciudad en las afueras de Moscú.
Reuters no pudo determinar si se tomaron datos durante la intrusión o qué información pudo haber sido vista. En los meses posteriores al robo digital, Pyongyang anunció varios desarrollos en su programa de misiles balísticos prohibidos, pero no está claro si esto estaba relacionado con la violación.
Los expertos dicen que el incidente muestra cómo el país aislado incluso atacará a sus aliados, como Rusia, en un intento por adquirir tecnologías críticas.
NPO Mashinostroyeniya no respondió a las solicitudes de comentarios de Reuters. La embajada de Rusia en Washington no respondió a una solicitud de comentarios enviada por correo electrónico. La misión de Corea del Norte ante las Naciones Unidas en Nueva York no respondió a una solicitud de comentarios.
La noticia del hackeo llega poco después de un viaje a Pyongyang el mes pasado del ministro de Defensa ruso, Sergei Shoigu, para el 70 aniversario de la Guerra de Corea; la primera visita de un ministro de Defensa ruso a Corea del Norte desde la desintegración de la Unión Soviética en 1991.
La compañía objetivo, comúnmente conocida como NPO Mash, ha actuado como un desarrollador pionero de misiles hipersónicos, tecnologías satelitales y armamentos balísticos de nueva generación, según expertos en misiles, tres áreas de gran interés para Corea del Norte desde que se embarcó en su misión de crear un misil balístico intercontinental (ICBM) capaz de atacar a los Estados Unidos continentales.
Según los datos técnicos, la intrusión comenzó aproximadamente a fines de 2021 y continuó hasta mayo de 2022 cuando, según las comunicaciones internas de la compañía revisadas por Reuters, los ingenieros de TI detectaron la actividad de los piratas informáticos.
NPO Mash creció a la prominencia durante la Guerra Fría como un importante fabricante de satélites para el programa espacial de Rusia y como proveedor de misiles de crucero.
EMAIL HACK
Los hackers cavaron en el entorno de TI de la compañía, dándoles la capacidad de leer el tráfico de correo electrónico, saltar entre redes y extraer datos, según Tom Hegel, investigador de seguridad de la firma estadounidense de ciberseguridad SentinelOne, quien inicialmente descubrió el compromiso.
«Estos hallazgos proporcionan una visión rara de las operaciones cibernéticas clandestinas que tradicionalmente permanecen ocultas al escrutinio público o simplemente nunca son capturadas por tales víctimas», dijo Hegel.
El equipo de analistas de seguridad de Hegel en SentinelOne se enteró del hackeo después de descubrir que un miembro del personal de NPO Mash IT filtró accidentalmente las comunicaciones internas de su compañía mientras intentaba investigar el ataque norcoreano cargando evidencia en un portal privado utilizado por investigadores de ciberseguridad en todo el mundo.
Cuando fue contactado por Reuters, ese miembro del personal de TI declinó hacer comentarios.
El lapso proporcionó a Reuters y SentinelOne una instantánea única de una compañía de importancia crítica para el estado ruso que fue sancionada por la administración Obama tras la invasión de Crimea.
Dos expertos independientes en seguridad informática, Nicholas Weaver y Matt Tait, revisaron el contenido del correo electrónico expuesto y confirmaron su autenticidad. Los analistas verificaron la conexión comparando las firmas criptográficas del correo electrónico con un conjunto de claves controladas por NPO Mash.
«Estoy muy seguro de que los datos son auténticos», dijo Weaver a Reuters. «Cómo se expuso la información fue un error absolutamente hilarante».
SentinelOne dijo que confiaban en que Corea del Norte estaba detrás del hackeo porque los espías cibernéticos reutilizaron malware previamente conocido e infraestructura maliciosa configurada para llevar a cabo otras intrusiones.
‘MOVIE STUFF’
En 2019, el presidente ruso, Vladimir Putin, promocionó el misil hipersónico «Zircon» de NPO Mash como un «nuevo producto prometedor», capaz de viajar a alrededor de nueve veces la velocidad del sonido.
El hecho de que los hackers norcoreanos puedan haber obtenido información sobre el Zircón no significa que tendrían inmediatamente la misma capacidad, dijo Markus Schiller, un experto en misiles con sede en Europa que ha investigado la ayuda extranjera al programa de misiles de Corea del Norte.
«Eso es cosa de películas», dijo. «Conseguir planos no te ayudará mucho en la construcción de estas cosas, hay mucho más que algunos dibujos».
Sin embargo, dada la posición de NPO Mash como uno de los principales diseñadores y productores de misiles rusos, la compañía sería un objetivo valioso, agregó Schiller.
«Hay mucho que aprender de ellos», dijo.
Otra área de interés podría estar en el proceso de fabricación utilizado por NPO Mash que rodea el combustible, dijeron los expertos. El mes pasado, Corea del Norte lanzó de prueba el Hwasong-18, el primero de sus ICBM en usar propelentes sólidos.
Ese método de abastecimiento de combustible puede permitir un despliegue más rápido de misiles durante la guerra, porque no requiere combustible en una plataforma de lanzamiento, lo que hace que los misiles sean más difíciles de rastrear y destruir antes del despegue.
NPO Mash produce un ICBM denominado SS-19 que se alimenta en la fábrica y se cierra sellado, un proceso conocido como «ampulización» que produce un resultado estratégico similar.
«Es difícil de hacer porque el propulsor de cohetes, especialmente el oxidante, es muy corrosivo», dijo Jeffrey Lewis, investigador de misiles en el Centro James Martin para Estudios de No Proliferación.
«Corea del Norte anunció que estaba haciendo lo mismo a fines de 2021. Si NPO Mash tuviera algo útil para ellos, eso sería lo primero de mi lista», agregó.
