Reuters fand heraus, dass mit der nordkoreanischen Regierung in Verbindung stehende Cyberspionage-Teams, die von Sicherheitsforschern als ScarCruft und Lazarus bezeichnet werden, heimlich digitale Hintertüren in die Systeme von NPO Mashinostroyeniya, einem Raketenentwicklungsbüro mit Sitz in Reutov, einer kleinen Stadt am Stadtrand von Moskau, eingebaut haben.
Reuters konnte nicht feststellen, ob während des Eindringens Daten entwendet wurden oder welche Informationen möglicherweise eingesehen wurden. In den Monaten nach dem digitalen Einbruch kündigte Pjöngjang mehrere Entwicklungen in seinem verbotenen ballistischen Raketenprogramm an, aber es ist nicht klar, ob dies mit dem Einbruch zusammenhing.
Nach Ansicht von Experten zeigt der Vorfall, dass das isolierte Land sogar seine Verbündeten wie Russland ins Visier nimmt, um an wichtige Technologien zu gelangen.
NPO Mashinostroyeniya reagierte nicht auf Anfragen von Reuters nach einem Kommentar. Die russische Botschaft in Washington antwortete nicht auf eine E-Mail mit der Bitte um einen Kommentar. Nordkoreas Vertretung bei den Vereinten Nationen in New York reagierte nicht auf eine Anfrage nach einem Kommentar.
Die Nachricht von dem Hack kommt kurz nach einer Reise des russischen Verteidigungsministers Sergej Schoigu nach Pjöngjang im letzten Monat anlässlich des 70. Jahrestages des Koreakrieges; der erste Besuch eines russischen Verteidigungsministers in Nordkorea seit dem Zusammenbruch der Sowjetunion 1991.
Das ins Visier genommene Unternehmen, das allgemein als NPO Mash bekannt ist, hat nach Ansicht von Raketenexperten bei der Entwicklung von Hyperschallraketen, Satellitentechnologien und ballistischen Waffen der neueren Generation Pionierarbeit geleistet - drei Bereiche, die für Nordkorea von großem Interesse sind, seit es sich auf den Weg gemacht hat, eine Interkontinentalrakete (ICBM) zu bauen, die das Festland der Vereinigten Staaten treffen kann.
Technischen Daten zufolge begann das Eindringen ungefähr Ende 2021 und dauerte bis Mai 2022, als IT-Ingenieure die Aktivitäten der Hacker entdeckten, wie aus der internen Kommunikation des Unternehmens hervorgeht, die von Reuters überprüft wurde.
NPO Mash erlangte während des Kalten Krieges als führender Satellitenhersteller für das russische Raumfahrtprogramm und als Anbieter von Marschflugkörpern große Bekanntheit.
EMAIL-HACK
Die Hacker drangen in die IT-Umgebung des Unternehmens ein und konnten so den E-Mail-Verkehr mitlesen, zwischen den Netzwerken wechseln und Daten extrahieren, so Tom Hegel, ein Sicherheitsforscher des US-Cybersicherheitsunternehmens SentinelOne, der die Kompromittierung ursprünglich entdeckt hatte.
"Diese Erkenntnisse bieten einen seltenen Einblick in die geheimen Cyberoperationen, die traditionell vor der Öffentlichkeit verborgen bleiben oder von den Opfern einfach nicht bemerkt werden", sagte Hegel.
Hegels Team von Sicherheitsanalysten bei SentinelOne erfuhr von dem Hack, nachdem er entdeckt hatte, dass ein IT-Mitarbeiter von NPO Mash versehentlich die interne Kommunikation seines Unternehmens durchsickern ließ, als er versuchte, den nordkoreanischen Angriff zu untersuchen, indem er Beweise auf ein privates Portal hochlud, das von Cybersecurity-Forschern weltweit genutzt wird.
Als er von Reuters kontaktiert wurde, lehnte dieser IT-Mitarbeiter einen Kommentar ab.
Der Lapsus verschaffte Reuters und SentinelOne einen einzigartigen Einblick in ein Unternehmen, das für den russischen Staat von entscheidender Bedeutung ist und von der Obama-Regierung nach der Invasion der Krim mit Sanktionen belegt wurde.
Zwei unabhängige Computersicherheitsexperten, Nicholas Weaver und Matt Tait, überprüften den Inhalt der offengelegten E-Mail und bestätigten ihre Authentizität. Die Analysten überprüften die Verbindung, indem sie die kryptografischen Signaturen der E-Mail mit einer Reihe von Schlüsseln verglichen, die von NPO Mash kontrolliert werden.
"Ich bin sehr zuversichtlich, dass die Daten authentisch sind", sagte Weaver gegenüber Reuters. "Die Art und Weise, wie die Informationen aufgedeckt wurden, war eine absolut wahnsinnige Panne.
SentinelOne ist sich sicher, dass Nordkorea hinter dem Hack steckt, weil die Cyberspione bereits bekannte Malware und bösartige Infrastrukturen wiederverwendet haben, die für andere Angriffe eingerichtet wurden.
'FILM-STOFF'
Im Jahr 2019 pries der russische Präsident Wladimir Putin die Hyperschallrakete "Zircon" von NPO Mash als "vielversprechendes neues Produkt" an, das die neunfache Schallgeschwindigkeit erreichen könne.
Die Tatsache, dass nordkoreanische Hacker möglicherweise Informationen über Zircon erlangt haben, bedeutet nicht, dass sie sofort über die gleiche Fähigkeit verfügen würden, sagte Markus Schiller, ein in Europa ansässiger Raketenexperte, der die ausländische Hilfe für Nordkoreas Raketenprogramm untersucht hat.
"Das ist Filmstoff", sagte er. "Pläne zu bekommen, wird Ihnen beim Bau dieser Dinger nicht viel helfen, es steckt viel mehr dahinter als ein paar Zeichnungen".
Angesichts der Position von NPO Mash als führender russischer Raketenkonstrukteur und -hersteller wäre das Unternehmen jedoch ein wertvolles Ziel, so Schiller weiter.
"Es gibt viel von ihnen zu lernen", sagte er.
Ein weiterer Bereich, der von Interesse sein könnte, ist das Herstellungsverfahren von NPO Mash für den Treibstoff, so die Experten. Letzten Monat hat Nordkorea die Hwasong-18 getestet, die erste seiner Interkontinentalraketen, die mit Festtreibstoff betrieben wird.
Diese Art der Betankung kann einen schnelleren Einsatz der Raketen im Krieg ermöglichen, da sie nicht auf einer Startrampe betankt werden müssen, was es schwieriger macht, die Raketen vor dem Start zu verfolgen und zu zerstören.
Die NPO Mash stellt eine ICBM namens SS-19 her, die in der Fabrik betankt und versiegelt wird, ein Prozess, der als "Ampulisierung" bekannt ist und zu einem ähnlichen strategischen Ergebnis führt.
"Das ist schwierig, weil der Raketentreibstoff, insbesondere das Oxidationsmittel, sehr korrosiv ist", sagte Jeffrey Lewis, ein Raketenforscher am James Martin Center for Nonproliferation Studies.
"Nordkorea kündigte an, dass es Ende 2021 dasselbe tun würde. Wenn die NPO Mash etwas Nützliches für sie hätte, würde das ganz oben auf meiner Liste stehen", fügte er hinzu. (Berichte von James Pearson in London und Christopher Bing in Washington; Bearbeitung durch Chris Sanders und Alistair Bell)
