О взломе специалисты SentinelOne узнали, когда один из сотрудников НПО, пытаясь расследовать хакерскую атаку, случайно слил внутренние сообщения компании на портале, который используют исследовали кибербезопасности по всему миру. Новости о взломе, как отмечает Reuters, появились вскоре после визита в КНДР министра обороны России Сергея Шойгу в июле. Установив «бэкдор» в системах НПО (так называют программное обеспечение, встраивающееся в систему и дающее взломщикам дистанционный доступ к информации), хакеры (Reuters приводит названия группировок — ScarCruft и Lazarus) получили возможность читать почту и извлекать данные. Атака продолжалась, по данным журналистов, примерно с конца 2021 года до мая 2022 года, когда ее обнаружили IT-инженеры. Как пишет Reuters, этот взлом предоставил уникальный шанс взглянуть изнутри на работу компании, попавшей под санкции еще в 2014 году и имеющей огромное значение для российских властей, но деталей не приводит. Более того, агентство Reuters не смогло установить, утекли ли какие-то конкретные данные при взломе, однако отмечает, что в течение нескольких месяцев после атаки северокорейские власти анонсировали изменения в своей программе разработки баллистических ракет. Однако, как отмечает Reuters, неясно, связаны ли эти изменения со взломом. Предприятие военно-промышленного комплекса «НПО машиностроения», расположенное в подмосковном Реутове, существует более 70 лет и само себя характеризует как одно из ведущих ракетно-космических предприятий России. В частности, «НПО машиностроения» разрабатывает гиперзвуковые ракеты «Циркон», которые несколько раз упоминал в своих публичных выступлениях Путин. Испытания ракет начались в июле 2021 года. В июле 2022 года президент анонсировал их поставку в вооруженные силы «в ближайшие месяцы».
