独家：朝鲜黑客侵入俄罗斯顶级导弹制造商 | 路透社

朝鲜领导人金正恩和俄罗斯国防部长谢尔盖·绍伊古在朝鲜中央通讯社于2023年7月27日发布的照片中参观了一场武器装备展，以纪念朝鲜战争停战协定达成70周年。朝鲜中央通讯社/路透社/文件照片

伦敦/华盛顿，8月7日(路透社) - 一群朝鲜精英黑客去年秘密侵入了一家重要的俄罗斯导弹开发商的计算机网络，据路透社审查的技术证据和安全研究人员的分析。安全研究人员的分析显示，朝鲜政府的网络间谍团队ScarCruft和拉扎勒斯在莫斯科郊外的小镇Reutov的火箭设计局NPO Mashinostroyeniya的系统中秘密安装了隐秘的数字后门。

路透社无法确定在入侵期间是否有数据被窃取，或者可能被查看了什么信息。在数字入侵后的几个月里，平壤宣布了其被禁止的弹道导弹计划的几项进展，但目前尚不清楚这是否与入侵有关。

专家表示，这一事件表明这个与世隔绝的国家甚至会瞄准其盟友，如俄罗斯，以获取关键技术。

NPO Mashinostroyeniya未对路透社的置评请求作出回应。俄罗斯驻华盛顿大使馆未对一封电子邮件置评请求作出回应。朝鲜驻联合国代表团未对置评请求作出回应。

黑客袭击的消息传出后不久，俄罗斯国防部长谢尔盖·绍伊古上个月访问平壤，参加朝鲜战争70周年纪念活动；这是自1991年苏联解体以来俄罗斯国防部长首次访问朝鲜。

被攻击的公司，通常被称为NPO Mash，一直是高超音速导弹、卫星技术和新一代弹道武器的先驱开发者，据导弹专家称，这三个领域是朝鲜极感兴趣的，因为自从朝鲜开始着手创建能够打击美国本土的洲际弹道导弹（ICBM）以来。

根据技术数据，入侵大约始于2021年底，并持续到2022年5月，根据路透社审查的公司内部通信，IT工程师们在那时检测到了黑客的活动。

NPO Mash在冷战期间成为俄罗斯太空计划的主要卫星制造商和巡航导弹供应商，因此声名鹊起。

电子邮件被黑

黑客深入公司的IT环境，使他们能够阅读电子邮件流量，跳转网络，并提取数据，这是美国网络安全公司SentinelOne的安全研究员汤姆·赫格尔最初发现的。

“这些发现为我们提供了难得的洞察，揭示了传统上对公众审查保持隐秘的秘密网络行动，或者干脆从未被受害者发现的情况，”赫格尔说。

Hegel的SentinelOne安全分析团队在发现NPO Mash IT员工在试图调查朝鲜袭击时意外泄露了公司内部通信后，得知了这次黑客攻击。他们将证据上传到了全球网络安全研究人员使用的私人门户网站上。

路透社联系该IT员工时，他拒绝置评。

这一疏忽为路透社和SentinelOne提供了一个独特的快照，揭示了一个对俄罗斯国家至关重要的公司，该公司在克里米亚入侵后被奥巴马政府制裁。

两位独立的计算机安全专家Nicholas Weaver和Matt Tait审查了泄露的电子邮件内容，并确认了其真实性。分析人员通过检查电子邮件的加密签名与NPO Mash控制的一组密钥进行验证了连接。

“我非常有信心数据是真实的，” Weaver告诉路透社。“信息是如何暴露的，简直是一个绝对滑稽的失误”。

SentinelOne表示，他们有信心朝鲜是这次黑客攻击的幕后黑手，因为网络间谍重复使用了先前已知的恶意软件和恶意基础设施，用于进行其他入侵。

‘电影内容’

2019年，俄罗斯总统弗拉基米尔·普京吹捧NPO Mash的"Zircon"高超音速导弹为"一个有前途的新产品"，能够以大约九倍音速行驶。

欧洲导弹专家马库斯·席勒表示，朝鲜黑客可能已经获得了有关Zircon的信息，并不意味着他们会立即拥有同样的能力。

“那是电影里的东西，”他说。“获得计划对你在建造这些东西上帮助不大，这其中还有很多东西不仅仅是一些图纸。”

然而，考虑到NPO Mash作为俄罗斯顶级导弹设计和生产商的地位，该公司将是一个有价值的目标，席勒补充说。

“从他们那里可以学到很多东西，”他说。

专家表示，NPO Mash在燃料周围使用的制造工艺可能是另一个感兴趣的领域。上个月，朝鲜试射了华城-18，这是其首个使用固体推进剂的洲际弹道导弹。

这种加注燃料的方法可以在战争期间加快导弹的部署，因为它不需要在发射台上加注燃料，使得导弹在发射前更难被追踪和摧毁。

NPO Mash生产的一种名为SS-19的洲际弹道导弹是在工厂内加注燃料并密封的，这个过程被称为“安瓿化”，产生了类似的战略结果。

“这很难做，因为火箭推进剂，特别是氧化剂，非常腐蚀性，”詹姆斯·马丁非扩散研究中心的导弹研究员杰弗里·刘易斯说。

“朝鲜宣布在2021年底也在做同样的事情。如果NPO Mash对他们有一个有用的东西，那将是我名单上的首选，”他补充道。