A infiltração só foi detetada e interrompida depois de um ano de exploração da rede em que os hackers não foram detetados.
A National Aeronautics and Space Administration dos Estados Unidos, mais conhecida por NASA, sofreu recentemente uma falha de segurança em que hackers acederam e roubaram dados dados confidenciais da agência relacionada com a missão a Marte, incluindo detalhes sobre o Curiosity rover.
A falha, que afetou o Jet Propulsion Laboratory (JPL) da NASA, não foi detetada durante 10 meses, detalha o relatório emitido pelo Office of the Inspector General da NASA (OIG).
“Em Abril de 2018, o JPL descobriu que uma conta pertencente a um utilizador externo tinha sido comprometida e usada para roubar 500 megabytes de dados de um dos seus principais sistemas de missão”, explica o relatório, atribuindo a intrusão a um grupo de Advanced Persistent Threat (APT).
Mas o mais notável é como ocorreu a falha. Acontece que os hackers exploraram um dispositivo Raspberry Pi, que foi ligado à rede JPL sem autorização, como uma plataforma de lançamento se infiltrar na rede e se movimentar lateralmente.
Não se especifica quem esteve por trás da intrusão, ou mais especificamente, quem se ligou à rede com este dispositivo, de uma única placa, que pode ser comprado por aproximadamente 25 dólares.
O que ficou claro, no entanto, é que a OIG não ficou nada impressionada com o posicionamento em cibersegurança da agência espacial.
Graves problemas de segurança
“Nos últimos 10 anos, o JPL sofreu vários e importantes incidentes de cibersegurança que comprometeram grandes segmentos das suas redes de TI”, diz o relatório.
E não fica por aí, passando revista à lista de falhas nos controlos de segurança de rede da NASA, que colocam os seus sistemas e dados em risco. “Múltiplas fragilidades nos controlos de segurança de TI reduzem a capacidade do JPL para prevenir, detetar e mitigar ataques que têm como objetivo os seus sistemas e redes, expondo assim os dados e sistemas da NASA à exploração por parte de criminosos”, salienta o relatório.
Isto foi também exposto no incidente do Raspberry Pi, que foi parcialmente ativado devido “à visibilidade reduzida de dispositivos ligados às suas (NASA) redes”. Isto significa que os novos dispositivos adicionados à rede nem sempre foram sujeitos a um processo de verificação por um responsável de segurança e a agência desconhecia que o gadget (Raspberry Pi) estivesse presente na rede.
Para além disso, a auditoria observou a falta de segmentação da rede, algo que permitiu a que hackers se movimentassem lateralmente entre os vários sistemas ligados a uma gateway da rede. A gateway fornece aos utilizadores externos e aos seus parceiros, incluindo agências espaciais estrangeiras, contratados, e instituições de educação, acesso remoto a um ambiente partilhado.
A auditoria constatou ainda que os tickets de registo de segurança, que incluem a aplicação de um patch de software ou atualização da configuração, por vezes permaneciam sem resolução por mais de seis meses. Isto acontece apesar dos administradores de sistemas terem no máximo 30 dias para aplicarem medidas corretivas.
Este processo moroso foi responsável pela intrusão Raspberry Pi, já que “um dos quatro sistemas comprometidos não viram as suas vulnerabilidades corrigidas em tempo útil”.
Foram também afetados os sistemas vinculados à Deep Space Network (DSN) da NASA. Isto fez com que as equipas de segurança do Johnson Space Center, que administra a Estação Especial Internacional, se desligassem da gateway dados os receios a que “hackers se pudessem movimentar lateralmente desde a gateway para os sistemas de missão, conseguindo potencialmente o acesso e iniciando ações maliciosos que afetem os voos de missões espaciais humanas que utilizem esses sistemas”.
O relatório reparou ainda que o JPL não implementou um programa de deteção de ameaças para “perseguir ativamente atividades anormais nos seus sistemas e indicadores de algum tipo de compromisso”, confiando “num processo ad hoc para detetar intrusos”.
