Kuzey Koreli bilgisayar korsanları Rusya'nın en büyük füze üreticisini hackledi

Reuters tarafından incelenen teknik kanıtlara ve güvenlik araştırmacılarının analizlerine göre, Kuzey Koreli hackerlardan oluşan seçkin bir grup, geçen yıl en az beş ay boyunca büyük bir Rus füze geliştiricisinin bilgisayar ağlarını gizlice ihlal etti.

Reuters, güvenlik araştırmacılarının ScarCruft ve Lazarus olarak adlandırdığı Kuzey Kore hükümetiyle bağlantılı siber casusluk ekiplerinin, Moskova'nın eteklerinde küçük bir kasaba olan Reutov'da bulunan bir roket tasarım bürosu olan NPO Mashinostroyeniya'daki sistemlere gizlice dijital arka kapılar yerleştirdiğini tespit etti.

Dijital sızmayı takip eden aylarda Pyongyang, yasaklı balistik füze programında bazı gelişmeler olduğunu duyurdu ancak bunun sızmayla ilgili olup olmadığı net değil.

Uzmanlar bu olayın, izole edilmiş ülkenin kritik teknolojileri elde etmek amacıyla Rusya gibi müttefiklerini bile nasıl hedef alabileceğini gösterdiğini söylüyor.

NPO Mashinostroyeniya Reuters'in yorum taleplerine yanıt vermedi. Rusya'nın Washington'daki büyükelçiliği de e-posta yoluyla yapılan yorum talebine yanıt vermedi. Kuzey Kore'nin New York'taki Birleşmiş Milletler misyonu da yorum talebine yanıt vermedi.

Hack haberi, Rusya Savunma Bakanı Sergey Şoygu’nun geçen ay Kore Savaşı'nın 70. yıldönümü dolayısıyla Pyongyang'a yaptığı ziyaretten kısa bir süre sonra geldi; bu, 1991'de Sovyetler Birliği'nin dağılmasından bu yana bir Rus savunma bakanının Kuzey Kore'ye yaptığı ilk ziyaretti.

Füze uzmanlarına göre hedef alınan ve NPO Mash olarak bilinen şirket hipersonik füzeler, uydu teknolojileri ve yeni nesil balistik silahların öncü geliştiricisi olarak faaliyet gösteriyordu ki bu üç alan ABD anakarasını vurabilecek bir Kıtalararası Balistik Füze (ICBM) yaratma misyonuna başladığından beri Kuzey Kore'nin yoğun ilgisini çekiyor.

Teknik verilere göre, izinsiz giriş kabaca 2021'in sonlarında başladı ve Reuters tarafından incelenen şirket içi yazışmalara göre, BT mühendislerinin bilgisayar korsanlarının faaliyetlerini tespit ettiği Mayıs 2022'ye kadar devam etti.

NPO Mash, Soğuk Savaş sırasında Rusya'nın uzay programı için önde gelen bir uydu üreticisi ve seyir füzeleri sağlayıcısı olarak öne çıktı.

ABD'li siber güvenlik firması SentinelOne'da güvenlik araştırmacısı olarak görev yapan ve sızıntıyı ilk keşfeden Tom Hegel'e göre, bilgisayar korsanları şirketin BT ortamına girerek e-posta trafiğini okuma, ağlar arasında geçiş yapma ve veri elde etme becerisi kazandılar.

Hegel, "Bu bulgular, geleneksel olarak kamu denetiminden gizli kalan ya da bu tür kurbanlar tarafından asla yakalanmayan gizli siber operasyonlar hakkında nadir bir içgörü sağlıyor" dedi.

Hegel'in SentinelOne'daki güvenlik analistlerinden oluşan ekibi, bir NPO Mash IT personelinin, dünya çapındaki siber güvenlik araştırmacıları tarafından kullanılan özel bir portala kanıt yükleyerek Kuzey Kore saldırısını araştırmaya çalışırken yanlışlıkla şirketinin iç iletişimini sızdırdığını keşfettikten sonra hack olayını öğrendi.

Reuters tarafından temasa geçildiğinde, söz konusu IT çalışanı yorum yapmayı reddetti.

Bu ihmal, Reuters ve SentinelOne'a, Kırım'ın işgalinin ardından Obama yönetimi tarafından yaptırım uygulanan Rus devleti için kritik öneme sahip bir şirket hakkında benzersiz bir görüntü sağladı.

İki bağımsız bilgisayar güvenliği uzmanı, Nicholas Weaver ve Matt Tait, açığa çıkan e-posta içeriğini inceledi ve gerçekliğini doğruladı.

Analistler, e-postanın kriptografik imzalarını NPO Mash tarafından kontrol edilen bir dizi anahtarla karşılaştırarak bağlantıyı doğruladı.

Weaver Reuters'e verdiği demeçte "Verilerin gerçek olduğundan son derece eminim" dedi.

"Bilginin açığa çıkma şekli kesinlikle çok komik bir hataydı" dedi.

SentinelOne, saldırının arkasında Kuzey Kore'nin olduğundan emin olduklarını çünkü siber casusların daha önce bilinen kötü amaçlı yazılımları ve diğer saldırıları gerçekleştirmek için kurulan kötü amaçlı altyapıyı yeniden kullandıklarını söyledi.

2019 yılında Rusya Devlet Başkanı Vladimir Putin, NPO Mash'ın ses hızının yaklaşık dokuz katına çıkabilen "Zircon" hipersonik füzesini "umut verici yeni bir ürün" olarak lanse etti.

Kuzey Kore'nin füze programına yapılan dış yardımları araştıran Avrupa merkezli füze uzmanı Markus Schiller, Kuzey Koreli bilgisayar korsanlarının Zircon hakkında bilgi edinmiş olmalarının aynı kabiliyete hemen sahip olacakları anlamına gelmediğini söyledi.

"Bunlar filmlerden fırlamış şeyler" dedi.

"Planları almak bu tür şeyleri inşa etmede size pek yardımcı olmaz, işin içinde bazı çizimlerden çok daha fazlası var".

Bununla birlikte Schiller, NPO Mash'ın en iyi Rus füze tasarımcısı ve üreticisi olarak konumu göz önüne alındığında, şirketin değerli bir hedef olacağını da sözlerine ekledi.

"Onlardan öğrenecek çok şey var" dedi.

Uzmanlar bir başka ilgi alanının da NPO Mash tarafından kullanılan yakıtın üretim süreci olabileceğini söyledi.

Geçtiğimiz ay Kuzey Kore, katı yakıt kullanan ilk ICBM'si olan Hwasong-18'i test amaçlı fırlattı.

Bu yakıt ikmali yöntemi savaş sırasında füzelerin daha hızlı konuşlandırılmasını sağlayabilir, çünkü fırlatma rampasında yakıt ikmali gerektirmez, bu da füzelerin patlamadan önce izlenmesini ve imha edilmesini zorlaştırır.

NPO Mash, SS-19 olarak adlandırılan ve fabrikada yakıt doldurulup mühürlenerek kapatılan bir ICBM üretiyor ki bu da "ampulizasyon" olarak bilinen ve benzer bir stratejik sonuç veren bir süreç.

James Martin Center for Nonproliferation Studies'de füze araştırmacısı olan Jeffrey Lewis "Bunu yapmak zor çünkü roket yakıtları, özellikle de oksitleyici çok aşındırıcıdır" dedi.

"Kuzey Kore 2021'in sonlarında aynı şeyi yaptığını açıkladı. Eğer NPO Mash'in onlar için yararlı bir şeyi olsaydı, bu benim listemin başında olurdu" diye ekledi.