Một nhóm tin tặc ưu tú của Triều Tiên bí mật xâm nhập mạng máy tính tại một công ty phát triển phi đạn lớn của Nga trong ít nhất 5 tháng vào năm ngoái, theo bằng chứng kỹ thuật được Reuters xem xét và phân tích của các nhà nghiên cứu an ninh.
Reuters phát hiện các nhóm gián điệp mạng có liên hệ với chính phủ Triều Tiên, mà các nhà nghiên cứu bảo mật gọi là ScarCruft và Lazarus, đã bí mật cài đặt các cửa hậu kỹ thuật số tàng hình vào các hệ thống tại NPO Mashinostroyeniya, một văn phòng thiết kế rốc-két có trụ sở tại Reutov, một thị trấn nhỏ ở ngoại ô Moscow.
Reuters không thể xác định liệu có dữ liệu nào bị lấy cắp trong quá trình xâm nhập hay không hoặc thông tin nào có thể đã bị xem. Trong những tháng sau vụ đột nhập kỹ thuật số, Bình Nhưỡng đã công bố một số bước phát triển trong chương trình phi đạn đạn đạo bị cấm nhưng không rõ liệu điều này có liên quan đến vụ xâm nhập tin tặc hay không.
Các chuyên gia cho rằng vụ việc cho thấy quốc gia bị cô lập Triều Tiên thậm chí sẽ nhắm mục tiêu vào các đồng minh của mình, chẳng hạn như Nga, trong nỗ lực giành được các công nghệ quan trọng.
NPO Mashinostroyeniya không trả lời yêu cầu bình luận từ Reuters. Tòa đại sứ Nga tại Washington không hồi đáp yêu cầu bình luận qua email. Phái bộ Triều Tiên tại Liên hiệp quốc ở New York không hồi âm yêu cầu bình luận.
Tin tức về vụ xâm nhập mạng xuất hiện ngay sau chuyến đi tới Bình Nhưỡng vào tháng trước của Bộ trưởng Quốc phòng Nga Sergei Shoigu nhân lễ kỷ niệm 70 năm Chiến tranh Triều Tiên, chuyến thăm đầu tiên của một bộ trưởng quốc phòng Nga tới Triều Tiên kể từ khi Liên Xô tan rã năm 1991.
Theo các chuyên gia phi đạn, công ty bị nhắm mục tiêu, thường được gọi là NPO Mash, đã đóng vai trò là nhà phát triển tiên phong về phi đạn siêu thanh, công nghệ vệ tinh và vũ khí đạn đạo thế hệ mới, theo các chuyên gia phi đạn. Đây là ba lĩnh vực quan tâm chính yếu của Triều Tiên kể từ khi nước này bắt đầu chế tạo Phi đạn Đạn đạo Xuyên lục địa (ICBM) có khả năng tấn công lục địa Hoa Kỳ.
Theo dữ liệu kỹ thuật, cuộc xâm nhập gần như bắt đầu vào cuối năm 2021 và tiếp tục cho đến tháng 5 năm 2022 khi, theo thông tin liên lạc nội bộ tại công ty mà Reuters xem qua, các kỹ sư công nghệ thông tin phát hiện ra hoạt động của tin tặc.
NPO Mash đã trở nên nổi tiếng trong Chiến tranh Lạnh với tư cách là nhà sản xuất vệ tinh hàng đầu cho chương trình vũ trụ của Nga và là nhà cung cấp phi đạn hành trình.
Đánh cắp email
Theo ông Tom Hegel, nhà nghiên cứu an ninh của công ty an ninh mạng Hoa Kỳ SentinelOne, người ban đầu phát hiện ra sự xâm nhập, các tin tặc đã đào sâu vào môi trường công nghệ thông tin của công ty để có thể đọc lưu lượng email, chuyển qua lại giữa các mạng và trích xuất dữ liệu.
Ông Hegel nói: “Những phát hiện này cung cấp cái nhìn sâu sắc hiếm có về các hoạt động mạng bí mật mà theo truyền thống vẫn được che giấu khỏi sự giám sát của công chúng hoặc đơn giản là không bao giờ bị những nạn nhân như vậy bắt được”.
Nhóm các nhà phân tích an ninh của ông Hegel tại SentinelOne đã biết về vụ xâm nhập sau khi phát hiện ra rằng một nhân viên công nghệ thông tin của NPO Mash đã vô tình làm rò rỉ thông tin liên lạc nội bộ của công ty trong khi cố gắng điều tra cuộc tấn công của Triều Tiên bằng cách tải bằng chứng lên một cổng thông tin riêng được các nhà nghiên cứu an ninh mạng trên toàn thế giới sử dụng.
Khi được Reuters liên hệ, nhân viên công nghệ thông tin đó đã từ chối bình luận.
Sai sót này đã cung cấp cho Reuters và SentinelOne một cái nhìn có một không hai về một công ty có tầm quan trọng đặc biệt đối với nhà nước Nga đã bị chính quyền Obama trừng phạt sau cuộc xâm lược Crimea.
Hai chuyên gia an ninh máy tính độc lập, Nicholas Weaver và Matt Tait, đã xem xét nội dung email bị lộ và xác nhận tính xác thực của nó. Các nhà phân tích đã kiểm chứng kết nối bằng cách kiểm tra chữ ký mật mã của email đối với một bộ khóa do NPO Mash kiểm soát.
Ông Weaver nói với Reuters: “Tôi rất tin tưởng vào sự xác thực của dữ liệu. “Làm thế nào thông tin được tiết lộ là một sai lầm hoàn toàn thú vị.”
SentinelOne cho biết họ tin tưởng Triều Tiên đứng sau vụ tin tặc vì các gián điệp mạng đã sử dụng lại phần mềm độc hại đã biết trước đó cũng như cơ sở hạ tầng độc hại được thiết lập để thực hiện các vụ xâm nhập khác.
‘Chuyện như phim’
Năm 2019, Tổng thống Nga Vladimir Putin đã giới thiệu phi đạn siêu thanh “Zircon” của NPO Mash là một “sản phẩm mới đầy hứa hẹn”, có khả năng di chuyển với tốc độ gấp 9 lần tốc độ âm thanh.
Ông Markus Schiller, một chuyên gia phi đạn ở châu Âu, người đã nghiên cứu viện trợ nước ngoài cho chương trình phi đạn của Triều Tiên, cho biết việc tin tặc Triều Tiên có thể lấy được thông tin về Zircon không có nghĩa là chúng sẽ ngay lập tức có khả năng tương tự.
“Đây là chuyện như phim,” ông nói. “Có được kế hoạch sẽ không giúp bạn nhiều trong việc xây dựng những thứ này, đâu chỉ có một số bản vẽ.”
Tuy nhiên, trong cương vị là nhà thiết kế và sản xuất phi đạn hàng đầu của Nga, NPO Mash sẽ là một mục tiêu đáng giá, ông Schiller nói thêm.
Các chuyên gia cho biết, một lĩnh vực quan tâm khác có thể là trong quá trình sản xuất được sử dụng bởi NPO Mash xung quanh nhiên liệu. Tháng trước, Triều Tiên đã phóng thử phi đạn Hwasong-18, ICBM đầu tiên sử dụng sức đẩy rắn.
Phương pháp tiếp nhiên liệu đó có thể cho phép triển khai phi đạn nhanh hơn trong chiến tranh, vì nó không yêu cầu tiếp nhiên liệu trên bệ phóng, khiến phi đạn khó bị theo dõi để tiêu diệt hơn trước khi phóng.
NPO Mash sản xuất một ICBM có tên SS-19 được nạp nhiên liệu trong nhà máy và đóng kín, một quá trình được gọi là “nén chặt” mang lại kết quả chiến lược tương tự.
Ông Jeffrey Lewis, nhà nghiên cứu phi đạn tại Trung tâm Nghiên cứu Không phổ biến vũ khí hạt nhân James Martin, cho biết: “Thật khó để làm điều đó vì nhiên liệu đẩy phi đạn, đặc biệt là chất oxy hóa, rất ăn mòn.”
“Triều Tiên thông báo rằng họ cũng đang làm điều tương tự vào cuối năm 2021. Nếu NPO Mash có một thứ hữu ích cho họ, thì đó sẽ là ưu tiên hàng đầu của tôi,” ông nói thêm.