NASA (Administration Nationale de l'Espace et de l'Aéronautique) divulgué des informations sur le piratage de son infrastructure interne, qui n'a pas été détecté pendant environ un an. Il est à noter que le réseau était isolé des menaces externes et que l'attaque par des hackers a été menée de l'intérieur à l'aide d'une carte Raspberry Pi, connecté sans autorisation au Jet Propulsion Laboratory (JPL).
Cette carte était utilisée par les employés comme point d'entrée dans le réseau local. Lors du piratage d'un système utilisateur externe ayant accès à la passerelle, les attaquants ont pu accéder au tableau de bord et à travers celui-ci, à l'ensemble du réseau interne du Jet Propulsion Laboratory qui a développé le véhicule mobile Curiosity et les télescopes spatiaux.
Des traces d'intrus sur le réseau interne ont été identifiées en avril 2018. Lors de l'attaque, des inconnus ils ont pu intercepter 23 fichiers, d'une taille totale d'environ 500 Mo, associés à des missions sur Mars.
Deux de ces fichiers contenait des informations soumises à une interdiction d'exportation de technologies à double usage. De plus, les attaquants ont eu accès au réseau à partir d'une antenne parabolique DSN (Deep Space Network) utilisé pour recevoir et envoyer des données à l'engin spatial utilisé dans les missions de la NASA.
Parmi les raisons qui ont contribué à la mise en œuvre du piratage, il a été appelé la suppression tardive des vulnérabilités dans les systèmes internes.
Cependant, l'audit a révélé que l'inventaire de la base de données était incomplet et inexact, une situation qui compromet la capacité de JPL à surveiller, signaler et répondre efficacement aux incidents de sécurité.
Les administrateurs système ne mettent pas systématiquement à jour l'inventaire lors de l'ajout de nouveaux périphériques au réseau. En particulier, certaines des vulnérabilités actuelles n'ont pas été corrigées pendant plus de 180 jours.
La division a également incorrectement tenu à jour la base de données d'inventaire de l'ITSDB (Base de données de sécurité des technologies de l'information), dans laquelle tous les appareils connectés au réseau interne doivent être reflétés.
Plus précisément, il a été constaté que 8 des 11 administrateurs de système responsables de la gestion des 13 systèmes d'échantillonnage de l'étude conservent un tableau d'inventaire distinct de leurs systèmes, à partir duquel ils mettent à jour périodiquement et manuellement les informations de la base de données ITSDB.
En outre, un administrateur système a déclaré qu'il n'entrait pas régulièrement de nouveaux appareils dans la base de données ITSDB car la fonction de mise à jour de la base de données ne fonctionnait pas toujours.
L'analyse a montré que cette base de données était remplie négligemment et ne reflétait pas l'état réel du réseau, y compris celui qui ne prenait pas en compte la carte Raspberry Pi utilisée par les employés.
Le réseau interne lui-même n'était pas divisé en segments plus petits, ce qui simplifiait les activités des attaquants.
Les responsables craignaient que les cyberattaques traversent latéralement le pont dans leurs systèmes de mission, obtenant potentiellement un accès et envoyant des signaux malveillants aux missions de vol habité utilisant ces systèmes.
Dans le même temps, les responsables de la sécurité informatique ont cessé d'utiliser les données DSN car ils craignaient qu'elles ne soient corrompues et peu fiables.
Cela dit, La NASA n'a mentionné aucun nom directement lié à l'attaque Avril 2018. Cependant, certains supposent que cela pourrait être lié à les actions du groupe de hackers chinois connu sous le nom de Advanced Persistent Threat 10, ou APT10.
Selon la plainte, des enquêtes ont montré qu'une campagne de phishing a permis aux espions de voler des centaines de gigaoctets de données en accédant à au moins 90 ordinateurs, y compris des ordinateurs de sept sociétés de technologie aéronautique, spatiale et satellitaire, à trois sociétés.
Cette attaque montre clairement que même les organisations dotées des niveaux de sécurité les plus élevés peuvent subir ce type d'événement.
Généralement, ces types d'attaquants ont tendance à tirer parti des maillons les plus faibles de la sécurité informatique, c'est-à-dire des utilisateurs eux-mêmes.
Vous pouvez changer la numérotation de la carte et l'adresse MAC, changer le nom du système d'exploitation, de l'agent et d'autres, je ne pense pas que ce soit d'une framboise, vous pouvez pirater un serveur de la meilleure machine et lui donner l'impression c'était à partir d'un téléphone portable.
Quel chiffon, s'ils peuvent le faire, ils peuvent également contrôler les équipements médicaux et leurs patients dans des environnements moins protégés. Vient maintenant la 5G et l'hyperconnexion. Quel danger.
Incroyable, le hacker en service a utilisé la même méthode que dans la série «Mr. Robot» dans un épisode de la première saison…. et cela fonctionnait aussi bien. Comme on dit, la réalité est parfois plus étrange que la fiction.