La NASA (Administración Nacional de Aeronáutica y del Espacio) reveló información sobre el pirateo de su infraestructura interna, que no se detectó durante aproximadamente un año. Cabe destacar que la red se aisló de amenazas externas y que el ataque por parte de los hackers se realizó desde el interior utilizando una placa Raspberry Pi, conectada sin permiso en el Jet Propulsion Laboratory (JPL).
Esta placa fue utilizada por los empleados como un punto de entrada a la red local. Durante el hackeo de un sistema de usuario externo con acceso a la puerta de enlace, los atacantes pudieron acceder al tablero y a través de él, a toda la red interna del en del Jet Propulsion Laboratory que desarrolló el vehículo móvil Curiosity y telescopios espaciales.
Las huellas de intrusos en la red interna se identificaron en abril de 2018. Durante el ataque, personas desconocidas pudieron interceptar 23 archivos, con un tamaño total de unos 500 MB, asociados con misiones en Marte.
Dos de estos archivos contenían información sujeta a la prohibición de exportar tecnologías de doble uso. Además, los atacantes obtuvieron acceso a la red de una antena parabólica DSN (Deep Space Network) utilizada para recibir y enviar datos a la nave espacial utilizada en las misiones de la NASA.
De las razones que contribuyeron a la implementación del hacking, se llamó la eliminación tardía de vulnerabilidades en los sistemas internos.
Sin embargo, la auditoría encontró que el inventario de la base de datos era incompleto e inexacto, una situación que pone en peligro la capacidad de JPL para monitorear, informar y responder efectivamente a incidentes de seguridad.
Los administradores de sistemas no actualizan sistemáticamente el inventario al agregar nuevos dispositivos a la red. En particular, algunas de las vulnerabilidades actuales permanecieron sin corregir durante más de 180 días.
La división también mantuvo incorrectamente la base de datos de inventario ITSDB (Base de datos de seguridad de la tecnología de la información), en la que deberían reflejarse todos los dispositivos conectados a la red interna.
Específicamente, se encontró que 8 de los 11 administradores de sistemas responsables de administrar los 13 sistemas de muestra de estudio mantienen una tabla de inventario separada de sus sistemas, desde la cual actualizan la información periódicamente y manualmente en la base de datos ITSDB.
Además, un administrador de sistemas declaró que no ingresaba regularmente nuevos dispositivos en la base de datos ITSDB porque la función de actualización de la base de datos a veces no funcionaba.
El análisis mostró que esta base de datos se llenó sin cuidado y no reflejaba el estado real de la red, incluida la que no tenía en cuenta la placa Raspberry Pi utilizada por los empleados.
La propia red interna no se dividió en segmentos más pequeños, lo que simplificó las actividades de los atacantes.
Los funcionarios temían que los ciberataques cruzaran lateralmente el puente hacia sus sistemas de misión, lo que podría obtener acceso y enviar señales maliciosas a las misiones de los vuelos espaciales tripulados que utilizan estos sistemas.
Al mismo tiempo, los agentes de seguridad de TI dejaron de usar los datos de DSN porque temían que fuera corrupto y poco confiable.
Dicho esto, la NASA no mencionó ningún nombre directamente relacionado con el ataque de abril de 2018. Sin embargo, algunos suponen que esto podría estar relacionado con las acciones del grupo de hackers chinos conocido como el nombre de Advanced Persistent Threat 10, o APT10.
Según la denuncia, las investigaciones mostraron que una campaña de phishing permitió a los espías robar cientos de gigabytes de datos al acceder a al menos 90 computadoras, incluidas computadoras de siete compañías de tecnología aeronáutica, espacial y satelital, de tres compañías.
Este ataque, deja muy en claro que incluso en las organizaciones con los mas altos niveles de seguridad pueden sufrir este tipo de hechos.
Comúnmente, este tipo de atacantes suelen aprovecharse de los eslabones mas débiles de la seguridad informática, es decir los propios usuarios.
Se puede alterar las numeraciones de la placa y de la MAC address, alterar el nombre del OS, del agent y demas, no creo que fuera desde una raspberry, se puede hackear un server desde la mejor maquina y hacer parecer que fue desde un celular.
Vaya tela, si pueden hacer esto, también pueden controlar equipaciones médicas y sus pacientes en entornos menos protegidos. Ahora viene el 5G y la hiperconexión. Qué peligro.
Flipante, el hacker de turno usó el mismo método que en la serie ‘Mr.Robot’ en un capítulo de la primera temporada…. y funcionó igual de bien. Como se suele decir, a veces la realidad supera a la ficción.