La NASA (Administración Nacional de Aeronáutica y del Espacio) reveló información sobre el pirateo de su infraestructura interna, que no se detectó durante aproximadamente un año. Cabe destacar que la red se aisló de amenazas externas y que el ataque por parte de los hackers se realizó desde el interior utilizando una placa Raspberry Pi, conectada sin permiso en el Jet Propulsion Laboratory (JPL).
Esta placa fue utilizada por los empleados como un punto de entrada a la red local. Durante el hackeo de un sistema de usuario externo con acceso a la puerta de enlace, los atacantes pudieron acceder al tablero y a través de él, a toda la red interna del en del Jet Propulsion Laboratory que desarrolló el vehÃculo móvil Curiosity y telescopios espaciales.
Las huellas de intrusos en la red interna se identificaron en abril de 2018. Durante el ataque, personas desconocidas pudieron interceptar 23 archivos, con un tamaño total de unos 500 MB, asociados con misiones en Marte.
Dos de estos archivos contenÃan información sujeta a la prohibición de exportar tecnologÃas de doble uso. Además, los atacantes obtuvieron acceso a la red de una antena parabólica DSN (Deep Space Network) utilizada para recibir y enviar datos a la nave espacial utilizada en las misiones de la NASA.
De las razones que contribuyeron a la implementación del hacking, se llamó la eliminación tardÃa de vulnerabilidades en los sistemas internos.
Sin embargo, la auditorÃa encontró que el inventario de la base de datos era incompleto e inexacto, una situación que pone en peligro la capacidad de JPL para monitorear, informar y responder efectivamente a incidentes de seguridad.
Los administradores de sistemas no actualizan sistemáticamente el inventario al agregar nuevos dispositivos a la red. En particular, algunas de las vulnerabilidades actuales permanecieron sin corregir durante más de 180 dÃas.
La división también mantuvo incorrectamente la base de datos de inventario ITSDB (Base de datos de seguridad de la tecnologÃa de la información), en la que deberÃan reflejarse todos los dispositivos conectados a la red interna.
EspecÃficamente, se encontró que 8 de los 11 administradores de sistemas responsables de administrar los 13 sistemas de muestra de estudio mantienen una tabla de inventario separada de sus sistemas, desde la cual actualizan la información periódicamente y manualmente en la base de datos ITSDB.
Además, un administrador de sistemas declaró que no ingresaba regularmente nuevos dispositivos en la base de datos ITSDB porque la función de actualización de la base de datos a veces no funcionaba.
El análisis mostró que esta base de datos se llenó sin cuidado y no reflejaba el estado real de la red, incluida la que no tenÃa en cuenta la placa Raspberry Pi utilizada por los empleados.
La propia red interna no se dividió en segmentos más pequeños, lo que simplificó las actividades de los atacantes.
Los funcionarios temÃan que los ciberataques cruzaran lateralmente el puente hacia sus sistemas de misión, lo que podrÃa obtener acceso y enviar señales maliciosas a las misiones de los vuelos espaciales tripulados que utilizan estos sistemas.
Al mismo tiempo, los agentes de seguridad de TI dejaron de usar los datos de DSN porque temÃan que fuera corrupto y poco confiable.
Dicho esto, la NASA no mencionó ningún nombre directamente relacionado con el ataque de abril de 2018. Sin embargo, algunos suponen que esto podrÃa estar relacionado con las acciones del grupo de hackers chinos conocido como el nombre de Advanced Persistent Threat 10, o APT10.
Según la denuncia, las investigaciones mostraron que una campaña de phishing permitió a los espÃas robar cientos de gigabytes de datos al acceder a al menos 90 computadoras, incluidas computadoras de siete compañÃas de tecnologÃa aeronáutica, espacial y satelital, de tres compañÃas.
Este ataque, deja muy en claro que incluso en las organizaciones con los mas altos niveles de seguridad pueden sufrir este tipo de hechos.
Comúnmente, este tipo de atacantes suelen aprovecharse de los eslabones mas débiles de la seguridad informática, es decir los propios usuarios.