Они взломали внутреннюю сеть НАСА с помощью Raspberry Pi.

В НАСА (Национальное управление по аэронавтике и исследованию космического пространства) раскрыла информацию о взломе своей внутренней инфраструктуры, который не обнаруживался около года. Следует отметить, что сеть была изолирована от внешних угроз и что атака хакерами была осуществлена ​​изнутри с использованием платы Raspberry Pi, подключены без разрешения в Лаборатории реактивного движения (JPL).

Эта доска использовалась сотрудниками как точка входа в локальную сеть. Во время взлома внешней пользовательской системы, имеющей доступ к шлюзу, злоумышленники получили доступ к приборной панели, а через нее - ко всей внутренней сети Лаборатории реактивного движения, разработавшей мобильный автомобиль Curiosity и космические телескопы.

Следы злоумышленников во внутренней сети были обнаружены в апреле 2018 года. Во время атаки неизвестные они смогли перехватить 23 файла общим размером около 500 МБ, связанных с полетами на Марс.

Два из этих файлов содержала информацию, подпадающую под запрет на экспорт технологий двойного назначения. Кроме того, злоумышленники получили доступ к сети со спутниковой антенны. DSN (Deep Space Network) используется для приема и отправки данных на космический корабль, используемый в миссиях НАСА.

Из причин, поспособствовавших внедрению взлома, было названо позднее устранение уязвимостей во внутренних системах.

Однако аудит показал, что инвентаризация базы данных была неполной и неточной, что ставит под угрозу способность JPL эффективно отслеживать, сообщать и реагировать на инциденты безопасности.

Системные администраторы не обновляют систематически инвентарь при добавлении новых устройств в сеть. Особенно, некоторые из текущих уязвимостей оставались неисправленными более 180 дней.

Подразделение также неправильно вело инвентарную базу данных ITSDB. (База данных безопасности информационных технологий), в которой должны быть отражены все устройства, подключенные к внутренней сети.

В частности, было обнаружено, что 8 из 11 системных администраторов, ответственных за управление 13 системами выборки исследований, поддерживают отдельную инвентарную таблицу своих систем, из которой они периодически и вручную обновляют информацию в базе данных ITSDB.

Кроме того, системный администратор заявил, что он не регулярно вносит новые устройства в базу данных ITSDB, потому что функция обновления базы данных иногда не работала.

Анализ показал, что эта база данных была заполнена небрежно и не отражала реальное состояние сети., в том числе и тот, который не учитывал плату Raspberry Pi, используемую сотрудниками.

Сама внутренняя сеть не была разделена на более мелкие сегменты, что упростило действия злоумышленников.

Должностные лица опасались, что кибератаки со стороны перейдут мост в их системы миссий, потенциально получая доступ и отправляя злонамеренные сигналы пилотируемым космическим полетам с использованием этих систем.

В то же время сотрудники ИТ-безопасности перестали использовать данные DSN, опасаясь, что они повреждены и ненадежны.

Тем не менее, НАСА не назвало имен, напрямую связанных с атакой. Апрель 2018. Однако некоторые полагают, что это могло быть связано с действия китайской хакерской группы, известной как Advanced Persistent Threat 10, или АПТ10.

Согласно жалобе, расследования показали, что фишинговая кампания позволила шпионам украсть сотни гигабайт данных, получив доступ как минимум к 90 компьютерам, в том числе компьютерам семи авиационных, космических и спутниковых компаний, трех компаний.

Эта атака очень ясно показывает, что даже организации с самым высоким уровнем безопасности могут пострадать от такого типа событий.

Как правило, злоумышленники такого типа стремятся использовать самые слабые звенья компьютерной безопасности, то есть самих пользователей.

Отчет