路透社星期一(8月7日)報道,路透社審查的技術證據和安全研究人員的分析表明,朝鮮的精英黑客去年秘密侵入俄羅斯一家主要導彈開發機構的電腦系統長達五個月。
朝鮮領導人金正恩與俄羅斯國防部長紹伊古參觀朝鮮為紀念韓戰70周年而舉行的一個軍備展。(2023年7月27日)
報道說,安全專家們稱之為ScarCruft和Lazarus的與朝鮮政府有關聯的網絡間諜團隊,秘密在俄羅斯火箭設計局俄羅斯機械製造工藝科學生產聯合體(NPO Mashinostroyenia)的系統中安裝了隱秘後門。該機構位於莫斯科郊區小鎮列烏托夫(Reutov),負責生產高超音速導彈和衛星。
路透社無法確認朝鮮黑客在入侵期間是否獲取任何數據或可能查看了哪些信息。但是,在數碼入侵發生之後的幾個月,平壤宣佈朝鮮被禁止的彈道導彈項目獲得幾項進展。不過,目前不知這是否與那次數碼入侵有關。
專家們稱,這一事件表明,處於孤立的朝鮮為了獲得關鍵技術,甚至不惜針對俄羅斯這樣的盟國。
俄羅斯機械製造工藝科學生產聯合體(NPO Mashinostroyenia)沒有回應路透社的置評請求。俄羅斯駐華盛頓大使館也沒有回覆要求置評的電郵。朝鮮駐紐約聯合國的使團也沒有回應。
報道說,在俄羅斯國防部長紹伊古上月底訪問平壤參加韓戰停戰70周年紀念活動後不久,朝鮮黑客的網絡入侵消息便傳出。紹伊古是自1991年蘇聯解體以來首位訪問朝鮮的俄羅斯國防部長。
據導彈專家稱,這家被針對的俗稱NPO Mash的公司,是俄羅斯高超音速導彈、衛星技術和新一代彈道武器的先驅開發商。自從朝鮮從事製造能夠打擊美國本土的洲際彈道導彈(ICBM)使命以來,朝鮮對這三個領域非常感興趣。
技術數據顯示,入侵大致始於2021年底,持續到2022年5月。根據路透社看到的公司內部通信記錄,IT工程師們當時發現了朝鮮黑客的活動。
報道說,最初發現這次網絡入侵事件的美國網絡安全公司SentinelOne的安全研究員湯姆·黑格爾(Tom Hegel)表示,黑客深入該機構的IT環境,使他們有能力讀取電子郵件流量、在網絡之間跳轉以及提取數據。
黑格爾在 SentinelOne的安全分析師團隊在發現一名NPO Mash的IT員工意外泄露的公司的內部通信後,得知了這一黑客入侵事件。那位IT員工在試圖調查朝鮮黑客入侵事件時,將證據上傳到全球網絡安全研究人員使用的一個私人門戶網站。
兩位獨立計算機安全專家尼古拉斯·韋弗(Nicholas Weaver)和麥特·泰特(Matt Tait)審查了被曝光的電子郵件內容,並確認了其真實性。
韋弗告訴路透社說,「我非常確信數據的真實性。這些信息是如何被曝光的,絕對是一個令人啼笑皆非的錯誤。」
SentinelOne表示,他們確信朝鮮是這次黑客攻擊的幕後黑手,因為網絡間諜重新使用了之前已知的惡意軟件和惡意基礎設施,以實施其他入侵行動。
報道還表示,2019年俄羅斯總統普京盛讚NPO Mash研發的「鋯石」高超音速導彈,其飛行速度約為音速的九倍。
研究外國援助朝鮮導彈項目的歐洲導彈專家馬庫斯·席勒(Markus Schiller)說,朝鮮黑客可能已經獲得了「鋯石」導彈的信息,但這並不意味着他們會立即擁有同樣的能力。
報道表示,專家說,朝鮮感興趣的另一個領域,可能是NPO Mash的火箭燃料使用的製造工藝。上個月,朝鮮試射了首枚使用固體推進劑的洲際彈道導彈「火星-18」。固體燃料可以在戰爭期間更快地部署導彈,因為不需要在發射台上添加燃料,使導彈在發射前更難被跟蹤和摧毀。
報道表示,NPO Mash公司生產了一種被稱為SS-19的洲際彈道導彈。這種導彈在工廠內加注燃料,然後密封起來。
詹姆斯-馬丁不擴散研究中心的導彈研究員傑弗里·劉易斯(Jeffrey Lewis)說,「這很難做到,因為火箭推進劑,尤其是氧化劑,具有很強的腐蝕性。朝鮮在2021年底也宣佈在做同樣的事情。如果NPO Mash有一樣對他們(朝鮮)有用的東西,那(推進劑)將在單子上排在首位。」
(本文依據了路透社的報道)