NASA (Administração Nacional Aeronáutica e Espacial) divulgou informações sobre o hackeamento de sua infraestrutura interna, que não foi detectado por cerca de um ano. Deve-se notar que a rede estava isolada de ameaças externas e que o ataque de hackers foi realizado de dentro usando uma placa Raspberry Pi, conectado sem permissão no Laboratório de Propulsão a Jato (JPL).
Este quadro foi utilizado pelos colaboradores como porta de entrada para a rede local. Durante o hack de um sistema de usuário externo com acesso ao gateway, os atacantes conseguiram acessar o painel e, por meio dele, toda a rede interna do Laboratório de Propulsão a Jato que desenvolveu o veículo móvel Curiosity e os telescópios espaciais.
Traços de intrusos na rede interna foram identificados em abril de 2018. Durante o ataque, pessoas desconhecidas eles foram capazes de interceptar 23 arquivos, com um tamanho total de cerca de 500 MB, associados a missões a Marte.
Dois desses arquivos continha informações sujeitas à proibição de exportação de tecnologias de dupla utilização. Além disso, os atacantes obtiveram acesso à rede a partir de uma antena parabólica DSN (Deep Space Network) usado para receber e enviar dados para a nave usada em missões da NASA.
Dos motivos que contribuíram para a implementação do hacking, foi denominado de remoção tardia de vulnerabilidades em sistemas internos.
No entanto, a auditoria constatou que o inventário do banco de dados estava incompleto e impreciso, uma situação que prejudica a capacidade do JPL de monitorar, relatar e responder com eficácia a incidentes de segurança.
Os administradores do sistema não atualizam sistematicamente o inventário ao adicionar novos dispositivos à rede. Em particular, algumas das vulnerabilidades atuais permaneceram sem correção por mais de 180 dias.
A divisão também manteve incorretamente o banco de dados de inventário ITSDB (Banco de dados de segurança de tecnologia da informação), no qual todos os dispositivos conectados à rede interna devem ser refletidos.
Especificamente, verificou-se que 8 dos 11 administradores de sistema responsáveis por gerenciar os 13 sistemas de amostra do estudo mantêm uma tabela de inventário separada de seus sistemas, a partir da qual atualizam periódica e manualmente as informações no banco de dados ITSDB.
Além disso, um administrador de sistema afirmou que não estava inserindo regularmente novos dispositivos no banco de dados ITSDB porque a função de atualização do banco de dados às vezes não funcionava.
A análise mostrou que este banco de dados foi preenchido de forma descuidada e não refletia o estado real da rede, inclusive aquela que não levou em consideração a prancha Raspberry Pi usada pelos funcionários.
A própria rede interna não foi dividida em segmentos menores, simplificando as atividades dos invasores.
As autoridades temiam que os ataques cibernéticos cruzassem lateralmente a ponte em seus sistemas de missão, potencialmente ganhando acesso e enviando sinais maliciosos para missões espaciais tripuladas usando esses sistemas.
Ao mesmo tempo, os oficiais de segurança de TI pararam de usar os dados DSN porque temiam que fossem corrompidos e não confiáveis.
Dito isto, A NASA não mencionou nenhum nome diretamente relacionado ao ataque Abril de 2018. No entanto, alguns supõem que isso pode estar relacionado a as ações do grupo de hackers chinês conhecido como Advanced Persistent Threat 10, ou APT10.
De acordo com a denúncia, as investigações mostraram que uma campanha de phishing permitiu que espiões roubassem centenas de gigabytes de dados acessando pelo menos 90 computadores, incluindo computadores de sete empresas de aviação, espaço e tecnologia de satélite, de três empresas.
Esse ataque deixa bem claro que mesmo organizações com os mais altos níveis de segurança podem sofrer esse tipo de evento.
Normalmente, esses tipos de invasores tendem a tirar proveito dos elos mais fracos da segurança do computador, ou seja, os próprios usuários.