De hackade NASAs interna nätverk med en Raspberry Pi

NASA (National Aeronautics and Space Administration) avslöjad information om hackning av dess interna infrastruktur, som inte upptäcktes på ungefär ett år. Det bör noteras att nätverket var isolerat från externa hot och det attackerna från hackarna utfördes inifrån med ett Raspberry Pi-kort, ansluten utan tillstånd på Jet Propulsion Laboratory (JPL).

Denna styrelse användes av anställda som en ingång till det lokala nätverket. Under hackningen av ett externt användarsystem med åtkomst till gatewayen kunde angriparna komma åt instrumentpanelen och genom den, hela det interna nätverket från Jet Propulsion Laboratory som utvecklade mobilfordonet Curiosity och rymdteleskop.

Spår av inkräktare på det interna nätverket identifierades i april 2018. Under attacken var okända personer de kunde fånga 23 filer, med en total storlek på cirka 500 MB, associerade med uppdrag till Mars.

Två av dessa filer innehöll information som omfattas av ett förbud mot export av teknik med dubbla användningsområden. Dessutom fick angriparna tillgång till nätverket från en parabolantenn DSN (Deep Space Network) används för att ta emot och skicka data till rymdfarkosten som används i NASA-uppdrag.

Av anledningarna som bidrog till implementeringen av hacking kallades det för sen borttagning av sårbarheter i interna system.

Granskningen fann dock att databasinventeringen var ofullständig och felaktig, en situation som äventyrar JPL: s förmåga att effektivt övervaka, rapportera och svara på säkerhetsincidenter.

Systemadministratörer uppdaterar inte systematiskt inventeringen när de lägger till nya enheter i nätverket. Särskilt, några av de nuvarande sårbarheterna förblev okorrigerade i mer än 180 dagar.

Divisionen underhöll också felaktigt ITSDB-lagerdatabasen (Säkerhetsdatabas för informationsteknik), där alla enheter som är anslutna till det interna nätverket ska återspeglas.

Specifikt konstaterades att 8 av de 11 systemadministratörerna som ansvarar för att hantera de 13 undersökningssystemen har en separat inventeringstabell över sina system, från vilka de periodiskt och manuellt uppdaterar informationen i ITSDB-databasen.

Dessutom, en sysadmin uppgav att han inte regelbundet införde nya enheter i databasen ITSDB eftersom uppdateringsdatabasfunktionen ibland inte fungerade.

Analys visade att denna databas fylldes slarvigt och inte återspeglade nätverkets faktiska tillstånd, inklusive den som inte tog hänsyn till Raspberry Pi-kortet som används av anställda.

Själva det interna nätverket delades inte in i mindre segment, vilket förenklar angriparnas aktiviteter.

Tjänstemän fruktade att cyberattacker i sidled skulle korsa bron till sina uppdragssystem, potentiellt få tillgång och skicka skadliga signaler till bemannade rymdflyguppdrag med dessa system.

Samtidigt slutade IT-säkerhetsansvariga använda DSN-data eftersom de fruktade att de var korrupta och opålitliga.

Som sagt, NASA nämnde inte några namn som är direkt relaterade till attacken April 2018. Men vissa antar att detta kan relateras till aktionerna från den kinesiska hackargruppen som kallas Advanced Persistent Threat 10, eller APT10.

Enligt klagomålet visade undersökningar att en phishing-kampanj tillät spioner att stjäla hundratals gigabyte data genom att komma åt minst 90 datorer, inklusive datorer från sju flyg-, rymd- och satellitteknikföretag, från tre företag.

Denna attack gör det mycket tydligt att även organisationer med högsta säkerhetsnivå kan drabbas av denna typ av händelse.

Vanligtvis tenderar dessa typer av angripare att dra nytta av de svagaste länkarna inom datasäkerhet, det vill säga användarna själva.

Informe