La NASA (Administración Nacional de Aeronáutica y del Espacio) reveló información sobre el pirateo de su infraestructura interna, que no se detectó durante aproximadamente un año. Cabe destacar que la red se aisló de amenazas externas y que el ataque por parte de los hackers se realizó desde el interior utilizando una placa Raspberry Pi, conectada sin permiso en el Jet Propulsion Laboratory (JPL).
Esta placa fue utilizada por los empleados como un punto de entrada a la red local. Durante el hackeo de un sistema de usuario externo con acceso a la puerta de enlace, los atacantes pudieron acceder al tablero y a través de él, a toda la red interna del en del Jet Propulsion Laboratory que desarrolló el vehículo móvil Curiosity y telescopios espaciales.
Las huellas de intrusos en la red interna se identificaron en abril de 2018. Durante el ataque, personas desconocidas pudieron interceptar 23 archivos, con un tamaño total de unos 500 MB, asociados con misiones en Marte.
Dos de estos archivos contenían información sujeta a la prohibición de exportar tecnologías de doble uso. Además, los atacantes obtuvieron acceso a la red de una antena parabólica DSN (Deep Space Network) utilizada para recibir y enviar datos a la nave espacial utilizada en las misiones de la NASA.
De las razones que contribuyeron a la implementación del hacking, se llamó la eliminación tardía de vulnerabilidades en los sistemas internos.
En particular, algunas de las vulnerabilidades actuales permanecieron sin corregir durante más de 180 días.
La división también mantuvo incorrectamente la base de datos de inventario ITSDB (Base de datos de seguridad de la tecnología de la información), en la que deberían reflejarse todos los dispositivos conectados a la red interna.
Específicamente, se encontró que 8 de los 11 administradores de sistemas responsables de administrar los 13 sistemas de muestra de estudio mantienen una tabla de inventario separada de sus sistemas, desde la cual actualizan la información periódicamente y manualmente en la base de datos ITSDB.
Además, un administrador de sistemas declaró que no ingresaba regularmente nuevos dispositivos en la base de datos ITSDB porque la función de actualización de la base de datos a veces no funcionaba.
El análisis mostró que esta base de datos se llenó sin cuidado y no reflejaba el estado real de la red, incluida la que no tenía en cuenta la placa Raspberry Pi utilizada por los empleados.
La propia red interna no se dividió en segmentos más pequeños, lo que simplificó las actividades de los atacantes.
Los funcionarios temían que los ciberataques cruzaran lateralmente el puente hacia sus sistemas de misión, lo que podría obtener acceso y enviar señales maliciosas a las misiones de los vuelos espaciales tripulados que utilizan estos sistemas.
Al mismo tiempo, los agentes de seguridad de TI dejaron de usar los datos de DSN porque temían que fuera corrupto y poco confiable.
Dicho esto, la NASA no mencionó ningún nombre directamente relacionado con el ataque de abril de 2018. Sin embargo, algunos suponen que esto podría estar relacionado con las acciones del grupo de hackers chinos conocido como el nombre de Advanced Persistent Threat 10, o APT10.
Según la denuncia, las investigaciones mostraron que una campaña de phishing permitió a los espías robar cientos de gigabytes de datos al acceder a al menos 90 computadoras, incluidas computadoras de siete compañías de tecnología aeronáutica, espacial y satelital, de tres compañías.
Aquí el Informe
Fuente: desdelinux
