Cybersecurity: attacco a NPO Mashinostroyeniya, realtà russa che produce missili e velivoli militari

I ricercatori di SentinelOne hanno scoperto un'intrusione ai sistemi informatici di un bersaglio estremamente sensibile: a subire l'attacco è stata NPO Mashinostroyeniya, azienda russa che si occupa della progettazione e produzione di missili e velivoli militari. La scoperta dell'attacco è avvenuta dopo aver trovato un archivio di mail sottratte all'azienda e reso pubblico che includeva una serie di dettagli su possibili attacchi all'infrastruttura.

Lazarus e ScarCruft prendono di mira bersagli militari russi

Nel corso delle loro investigazioni, gli esperti di cybersecurity di SentinelOne hanno individuato un attacco informatico contro un bersaglio molto sensibile: una realtà russa che si occupa di sviluppare armamenti (missili nello specifico) e velivoli militari. A ben vedere, gli attacchi rilevati sono due: uno scagliato contro il server email della vittima, che secondo l'azienda di sicurezza è stato portato avanti dal gruppo ScarCruft. Il secondo attacco, mirato all'infrastruttura IT, è invece riconducibile al gruppo Lazarus, dato che è stata usata una delle backdoor usate frequentemente da questo team di criminali informatici. Si presume che sia Lazarus sia Starcruft siano legati a DPRK, la Corea del Nord. 

Ancora non è chiaro se i due attacchi siano in qualche modo legati. 

Secondo SentinelOne, l'intrusione è avvenuta attorno a maggio 2022, pochi giorni prima che la Russia, insieme alla Cina, mise un veto a una risoluzione delle Nazioni Unite che mirava a imporre nuove sanzioni alla Corea del Nord. "Le email interne di NPO Mashinostroyeniya mostrano che il personale IT ha scambiato discussioni evidenziando comunicazioni discutibili tra processi specifici e infrastrutture esterne sconosciute", si legge sul blog di SentinelOne. "Lo stesso giorno, il personale di NPO Mashinostroyeniya ha anche identificato un file DLL sospetto presente in diversi sistemi interni. Nel mese successivo all'intrusione, NPO Mashinostroyeniya ha interagito con il personale di supporto della loro soluzione antivirus per determinare il motivo per cui questa e altre attività non sono state rilevate".

I file in questione sembrerebbero essere una versione di OpenCarrot, backdoor per i sistemi operativi Windows già utilizzata in passato dal gruppo Lazarus. Secondo SentinelOne, questa versione di OpenCarrot mette in comunicazione gli host interni della vittima con un server esterno, fatto che suggerisce la possibilità di una compromissione dell'architettura IT di  NPO Mashinostroyeniya. 

"Con un elevato livello di certezza, abbiamo atribuito questa intrusione ad attori associati in modo indipendente alla Corea del Nord", spiegano i ricercatori di SentinelOne. "Sulla base della nostra valutazione, questo incidente evidenzia le misure proattive messe in atto dalla della Corea del Nord per perseguire i progetti di sviluppo missilistico, come ha dimostrato la compromissione di un'organizzazione russa nel settore della difesa e dell'industria. La convergenza delle azioni degli attaccanti nordcoreani rappresenta una grave minaccia che richiede un monitoraggio globale completo. Operando in modo unito, questi attaccanti stanno intraprendendo costantemente una vasta gamma di campagne motivate da vari fattori. Alla luce di queste scoperte, diventa fondamentale affrontare e mitigare queste minacce con la massima attenzione".