Uma organização de base industrial de defesa russa especializada em mísseis e espaçonaves militares parece ter sido alvo de dois importantes grupos de hackers norte-coreanos.
Superficialmente, parece que a Coreia do Norte é um dos aliados mais fortes da Rússia desde o início da guerra na Ucrânia, com Pyongyang recentemente exibindo seus mísseis às autoridades russas.
No entanto, a pesquisa conduzida pela empresa de segurança cibernética SentinelOne parece mostrar que a Coreia do Norte é realmente visando a Rússia no ciberespaçoprovavelmente em uma tentativa de roubar informações sobre seus mísseis.
O SentinelOne viu evidências sugerindo que dois agentes de ameaças norte-coreanos, ScarCruft e o notório Lazarus, tinham como alvo o fabricante de mísseis russo NPO Mashinostroyeniya (também conhecido como JSC MIC Mashinostroyenia e NPO Mash).
Os pesquisadores da empresa de segurança encontraram e-mails vazados aparentemente originários da NPO Mashinostroyeniya, uma organização sancionada que possui informações valiosas sobre tecnologia de mísseis desenvolvida e usada pela Rússia.
O vazamento pareceu acidental e incluiu muitos e-mails, alguns dos quais discutiam uma violação detectada dentro da organização. Os invasores conseguiram interceptar e-mails e roubar dados.
Um backdoor do Windows chamado OpenCarrot e a infraestrutura usada no ataque permitiram ao SentinelOne vincular a operação aos grupos de hackers patrocinados pelo estado norte-coreano.
“Esse envolvimento estabelece conexões entre dois atores de ameaças afiliados à RPDC, sugerindo o potencial de recursos compartilhados, infraestrutura, implantes ou acesso a redes de vítimas”, disse a empresa de segurança.
Acrescentou: “Ademais, reconhecemos a possibilidade de que a tarefa atribuída de uma invasão no NPO Mashinostroyeniya possa ter garantido o direcionamento de vários atores autônomos de ameaças devido ao seu significado percebido”.
Reuters conduziu sua própria investigação sobre a violação do MPO Mashinostroyeniya e descobriu que a invasão provavelmente começou no final de 2021 e foi descoberta em maio de 2022.
Os e-mails vazados parecem ter vindo de um funcionário que estava investigando o incidente e carregou alguns arquivos no VirusTotal ou em um serviço similar.
Um especialista disse à publicação que, mesmo que os hackers norte-coreanos conseguissem roubar os planos de mísseis russos, reproduzi-los levaria “muito mais” do que isso.
: