La NASA (Administración Nacional de Aeronáutica y el Espacio, por sus siglas en español) ha sufrido recientemente una brecha de seguridad que ha permitido a los atacantes robar información sensible relacionada con la misión a Marte, incluyendo detalles sobre el Curiosity rover.
La brecha de seguridad, que afectó al Laboratorio de Propulsión a Reacción de la NASA (JPL, por sus siglas en inglés), permaneció sin ser detectada por 10 meses de acuerdo a un reporte publicado por la Oficina del Inspector General de la NASA (OIG).
“En abril de 2018, JPL descubrió que una cuenta perteneciente a un usuario externo había sido comprometida y utilizada para robar aproximadamente 500 MB de datos de uno de sus principales sistemas de misión”.
La cita corresponde a lo explicado en el referido reporte, en el cual además se atribuye la intrusión a un grupo de Amenaza Persistente Avanzada (APT, por sus siglas en inglés).
Según lo publicado en el portal de noticias de ESET, los cibercriminales explotaron un dispositivo Raspberry Pi que se encontraba estaba conectado a la red JPL sin autorización y lo utilizaron como trampolín para infiltrarse dentro de la red y moverse lateralmente.
Hasta ahora no se ha especificado quién estuvo detrás de la intrusión o, específicamente, quién conectó a la red este dispositivo, de una sola placa, que se puede comprar por aproximadamente 25 dólares.
“Sin embargo, lo que sí está claro es que a la Oficina del Inspector General no le llamó la atención la postura en ciberseguridad que tomó la agencia espacial”.
Brecha de seguridad de fondo
En el reporte también se ha afirmado que el JPL ha experimentado varios e importantes incidentes de ciberseguridad que han comprometido grandes segmentos de sus redes TI (Tecnologías de la Información) durante los últimos 10 años.
Además, se ha enumerado una serie de deficiencias en los controles de seguridad de la red de la NASA que han puesto en riesgo sus sistemas de datos.
“Múltiples debilidades de los controles de seguridad de TI reducen la habilidad del JPL para prevenir, detectar y mitigar ataques dirigidos a sus sistemas y redes, exponiendo los sistemas y datos de la NASA a la explotación por parte de un atacante”.
Esto mismo, de acuerdo a la publicación de blog, ha quedado en evidencia en el incidente de Raspberry Pi, que ha sido habilitado debido a su “visibilidad reducida en los dispositivos conectados a sus redes (de la NASA)”, entre otros factores.
La situación ha puesto de manifiesto que nuevos dispositivos añadidos a la red no siempre fueron llevados a un proceso de evaluación crítica por un especialista en seguridad y que la agencia no sabía que el gadget (Raspberry Pi) estaba presente en la red.
La auditoría, adicionalmente, ha detectado una falta de segmentación de la red, algo que han explotado los atacantes para moverse lateralmente entre varios sistemas conectados a una puerta de enlace de red.
“La puerta de enlace ofrece a usuarios externos y a sus socios, incluyendo agencias espaciales extranjeras, así como contratistas e instituciones educativas, acceso remoto a un entorno compartido”, según lo publicado.
Además, se han encontrado que los registros de los tickets de seguridad, entre los cuales figuran solicitudes para la instalación de parches a un software o actualizar un sistema de configuración, permanecieron sin resolverse durante más de seis meses en algunos casos. “Esto a pesar de que los administradores de sistemas tenían un plazo máximo de 30 días para llevar adelante las medidas correctivas”.
Esta clase de retrasos habría colaborado con que se pudiera aprovechar la brecha de seguridad y llevar adelante la intrusión de la Raspberry Pi, tomando además en cuenta que “uno de los cuatro sistemas comprometidos no parcheó una vulnerabilidad en el tiempo que correspondía”.
Sistemas afectados
Se ha conocido que también se vieron afectados los sistemas vinculados con la Red del Espacio Profundo de la NASA (DSN, por sus siglas en inglés). Esto, al parecer, finalmente habría provocado que los equipos de seguridad del Centro Espacial Johnson, que administra la Estación Espacial Internacional, se desconectaran de la puerta de enlace.
Y es que han temido que los “atacantes puedan moverse lateralmente desde la puerta de entrada a sus sistemas de misión, teniendo así la posibilidad de obtener acceso e iniciar acciones maliciosas que afecten a vuelos de misiones espaciales humanas que utilicen esos sistemas”.
El reporte igualmente ha detectado que el JPL no implementó un programa de búsqueda de amenazas para “perseguir de manera agresiva actividad anormal en sus sistemas e indicadores de algún tipo de compromiso”, confiando en cambio en “un proceso ad hoc para la búsqueda de intrusos”.
La auditoría ha destacado 10 recomendaciones y la NASA ha aceptado que todos, exceptuando uno, pusieran en marcha un proceso formal de búsqueda de amenazas.