OMG! La NASA piratea debido a una Raspberry Pi no autorizada conectada a su red

Un informe publicado esta semana por la Oficina del Inspector General de la NASA revela que en abril de 2018, los piratas informáticos violaron la red de la agencia y robaron aproximadamente 500 MB de datos relacionados con las misiones a Marte.

El punto de entrada era un dispositivo Raspberry Pi que estaba conectado a la red de TI del Laboratorio de Propulsión a Chorro de la NASA (JPL) sin autorización o sin pasar por la revisión de seguridad adecuada.

Los hackers robaron los datos de las misiones de Marte.

Según un informe de la OIG de 49 páginas, los piratas informáticos utilizaron este punto de entrada para profundizar en la red JPL mediante la piratería de una pasarela de red compartida.

Los piratas informáticos utilizaron esta puerta de enlace de red para girar dentro de la infraestructura de JPL y obtuvieron acceso a la red que almacenaba información sobre las misiones a Marte administradas por JPL de la NASA, desde donde extrajo información.

El informe de la OIG dijo que los piratas informáticos utilizaron «un sistema de usuario externo comprometido» para acceder a la red de misiones JPL.

«El atacante exfiltró aproximadamente 500 megabytes de datos de 23 archivos, 2 de los cuales contenían información del Reglamento de Tráfico Internacional de Armas de Fuego relacionado con la misión del Laboratorio de Ciencia de Marte», dijo la OIG de la NASA.

El Mars Science Laboratory es el programa JPL que gestiona el rover Curiosity en Marte, entre otros proyectos.

Los hackers también violaron la red de antena parabólica de la NASA

La función principal de la división JPL de la NASA es construir y operar naves espaciales robóticas planetarias, como el rover Curiosity, o los diversos satélites que orbitan los planetas en el sistema solar.

Además, el JPL también administra la Red de Espacio Profundo (DSN) de la NASA, una red mundial de antenas parabólicas que se utilizan para enviar y recibir información de naves espaciales de la NASA en misiones activas.

Los investigadores dijeron que además de acceder a la red de misiones de JPL, el intruso de abril de 2018 también accedió a la red de TI DSN de JPL. Tras el descubrimiento de la intrusión, varias otras instalaciones de la NASA se desconectaron de las redes JPL y DSN, por temor a que el atacante también pudiera girar a sus sistemas.

Los hackers descritos como un APT

«Clasificado como una amenaza persistente avanzada, el ataque no fue detectado por casi un año», dijo la OIG de la NASA. «La investigación sobre este incidente está en curso».

El informe culpó a la falla de JPL de segmentar su red interna en segmentos más pequeños, una práctica de seguridad básica que dificulta que los hackers se muevan dentro de redes comprometidas con relativa facilidad.

La OIG de la NASA también culpó al JPL por no mantener actualizada la Base de datos de seguridad de tecnología de la información (ITSDB). El ITSDB es una base de datos para el personal de TI de JPL, donde los administradores de sistemas deben registrar todos los dispositivos conectados a la red de JPL.

La OIG encontró que el inventario de la base de datos era incompleto e inexacto. Por ejemplo, la placa Raspberry Pi comprometida que sirvió como punto de entrada no se había ingresado en el inventario de ITSDB.

Además, los investigadores también encontraron que el personal de TI de JPL se estaba quedando atrás en lo que respecta a solucionar cualquier problema relacionado con la seguridad.

«También descubrimos que los tickets de registro de problemas de seguridad, creados en el ITSDB cuando se identifica una vulnerabilidad de seguridad del sistema de TI potencial o real, no se resolvieron por períodos prolongados de tiempo, a veces más de 180 días», dijo el informe.

¿Estaba APT10 detrás del hack?

En diciembre de 2018, el Departamento de Justicia de los Estados Unidos acusó a dos ciudadanos chinos por piratear proveedores de la nube, la NASA y la Marina de los Estados Unidos. El DOJ dijo que los dos piratas informáticos formaban parte de una de las unidades de piratería de élite del gobierno chino conocidas como APT10.

Los dos fueron acusados ​​de piratear el Centro Espacial Goddard de la NASA y el Laboratorio de Propulsión a Chorro. No está claro si estas son la «amenaza persistente avanzada» que hackeó el JPL en abril de 2018 porque la acusación del DOJ no proporcionó una fecha para la intrusión del JPL del APT10.

También en diciembre de 2018, la NASA anunció otra brecha. Este fue un incidente separado del hack de abril de 2018. Esta segunda infracción se descubrió en octubre de 2018 y el (los) intruso (s) robaron solo información relacionada con los empleados de la NASA.