Por James Pearson (LON:PSON) y Christopher Bing
LONDRES/WASHINGTON, 7 ago (Reuters) - Un grupo de élite de hackers norcoreanos accedió en secreto a las redes informáticas de una importante empresa rusa de desarrollo de misiles durante al menos cinco meses el año pasado, según pruebas técnicas revisadas por Reuters y análisis de investigadores de seguridad.
Reuters descubrió que equipos de ciberespionaje vinculados al Gobierno norcoreano, a los que los investigadores de seguridad denominan ScarCruft y Lazarus, instalaron en secreto puertas traseras digitales (backdoor) difíciles de detectar en los sistemas de NPO Mashinostroyeniya, una oficina de diseño de cohetes con sede en Reutov, una pequeña ciudad a las afueras de Moscú.
Reuters no pudo determinar si se tomaron datos durante la intrusión ni qué información se pudo haber consultado. En los meses posteriores a la intrusión digital, Pionyang anunció varios avances en su programa prohibido de misiles balísticos, pero no está claro si están relacionados con la brecha.
Según los expertos, el incidente demuestra que el país aislado puede incluso atacar a sus aliados, como Rusia, para adquirir tecnologías críticas.
La NPO Mashinostroyeniya no respondió a las peticiones de Reuters. La embajada rusa en Washington no respondió a una solicitud de comentarios enviada por correo electrónico. La misión de Corea del Norte ante las Naciones Unidas en Nueva York no respondió a una solicitud de comentarios.
La noticia del pirateo llega poco después del viaje a Pionyang el mes pasado del ministro de Defensa ruso, Serguéi Shoigu, con motivo del 70 aniversario de la Guerra de Corea; la primera visita de un ministro de Defensa ruso a Corea del Norte desde la desintegración de la Unión Soviética en 1991.
La empresa atacada, conocida comúnmente como NPO Mash, ha sido pionera en el desarrollo de misiles hipersónicos, tecnologías de satélites y armamento balístico de nueva generación, según los expertos en misiles, tres áreas de gran interés para Corea del Norte desde que se embarcó en su misión de crear un misil balístico intercontinental capaz de alcanzar la parte continental de Estados Unidos.
Según los datos técnicos, la intrusión comenzó aproximadamente a finales de 2021 y continuó hasta mayo de 2022 cuando, según comunicaciones internas de la empresa revisadas por Reuters, los ingenieros informáticos detectaron la actividad de los hackers.
PIRATEO DE CORREOS ELECTRÓNICOS
Según Tom Hegel, investigador de seguridad de la empresa estadounidense de ciberseguridad SentinelOne, que descubrió inicialmente el ataque, los hackers se introdujeron en el entorno informático de la empresa, lo que les permitió leer el tráfico de correo electrónico, saltar de una red a otra y extraer datos.
"Estos hallazgos proporcionan una visión poco frecuente de las operaciones cibernéticas clandestinas que tradicionalmente permanecen ocultas al escrutinio público o que simplemente nunca son descubiertas por dichas víctimas", afirmó Hegel.
El equipo de analistas de seguridad de Hegel en SentinelOne se enteró del hackeo tras descubrir que un empleado de TI de NPO Mash filtró accidentalmente las comunicaciones internas de su empresa mientras intentaba investigar el ataque norcoreano subiendo pruebas a un portal privado utilizado por investigadores de ciberseguridad de todo el mundo.
El lapsus proporcionó a Reuters y SentinelOne una instantánea única de una empresa de importancia crítica para el Estado ruso que fue sancionada por la administración Obama tras la invasión de Crimea.
SentinelOne dijo tener certeza de que Corea del Norte estaba detrás del hackeo porque los ciberespías reutilizaron malware previamente conocido e infraestructura maliciosa creada para llevar a cabo otras intrusiones.
(Información de James Pearson en Londres y Christopher Bing en Washington; editado por Chris Sanders y Alistair Bell; editado en español por Javi West Larrañaga)