A Administração Nacional da Aeronáutica e Espaço dos Estados Unidos, mais conhecida como NASA (sigla em inglês), sofreu recentemente um incidente de segurança em que atacantes acessaram e roubaram dados confidenciais da agência relacionados com a missão a Marte, incluindo detalhes sobre o Curiosity rover.
A brecha, que afetou o Jet Propulsion Laboratory (JPL) da NASA, permaneceu sem ser detectada durante 10 meses, detalha o relatório emitido pelo Office of the Inspector General da NASA (OIG).
“Em abril de 2018, o JPL descobriu que uma conta pertencente a um usuário externo tinha sido comprometida e usada para roubar 500 MB de dados de um dos seus principais sistemas de missão”, explica o relatório, atribuindo a intrusão a um grupo de Advanced Persistent Threat (APT).
Acontece que os cibercriminosos exploraram um dispositivo Raspberry Pi, que foi conectado à rede JPL sem autorização, e o usaram como um trampolim para se infiltrar na rede e se movimentar lateralmente.
Não se especifica quem esteve por trás da intrusão, ou mais especificamente, quem se conectou à rede com este dispositivo, de uma única placa, que pode ser comprado por aproximadamente US$ 25.
No entanto, o que está claro é que a OIG não ficou nada impressionada com o posicionamento em cibersegurança da agência espacial.
Graves problemas de segurança
“Durante os últimos 10 anos, o JPL sofreu vários e importantes incidentes de cibersegurança que comprometeram grandes segmentos de suas redes de TI”, afirma o relatório.
Além disso, o relatório não se detém apenas neste dado, mas enumera uma série de falhas nos controles de segurança da rede da NASA que colocam os sistemas e dados em risco. “Múltiplas fragilidades dos controlos de segurança de TI reduzem a capacidade do JPL para prevenir, detetar e mitigar ataques direcionados aos seus sistemas e redes, expondo assim os dados e sistemas da NASA à exploração por parte de criminosos”, destaca o relatório.
Isso também ficou evidente no incidente do Raspberry Pi, que foi ativado em parte devido à sua "visibilidade reduzida nos dispositivos conectados às suas redes (da NASA)". Isso significa que os novos dispositivos adicionados à rede nem sempre foram submetidos a um processo crítico de avaliação por um especialista em segurança e que a agência não sabia que o gadget (Raspberry Pi) estava presente na rede.
Além disso, a auditoria detectou uma falta de segmentação de rede, algo que os atacantes exploraram para se mover lateralmente entre vários sistemas conectados a uma gateway da rede. A gateway oferece aos usuários externos e aos seus parceiros, incluindo agências espaciais estrangeiras, bem como prestadores de serviços e instituições educacionais, acesso remoto a um ambiente compartilhado.
Além disso, a auditoria constatou que os registros dos tickets de segurança, incluindo solicitações de instalação de patches em um software ou atualização de um sistema de configuração, em alguns casos permaneceram sem resolução por mais de seis meses. Isso acontece apesar do fato dos administradores de sistemas terem um período máximo de 30 dias para executar as medidas corretivas.
Esse tipo de atraso contribuiu para a intrusão do Raspberry Pi, já que "um dos quatro sistemas comprometidos não corrigiu uma vulnerabilidade em tempo útil".
Sistemas ligados à Deep Space Network (DSN) da NASA também foram afetados. Isso eventualmente levou as equipes de segurança do Johnson Space Center, que administra a Estação Espacial Internacional, a se desconectarem do portal por medo de que os "atacantes pudessem se mover lateralmente desde a gateway para os seus sistemas de missão, tendo assim a possibilidade de obter acesso e iniciar ações maliciosas que afetam vôos de missões espaciais humanas que usam esses sistemas".
O relatório também descobriu que o JPL não implementou um programa de busca de ameaças para "perseguir ativamente atividades anormais em seus sistemas e indicadores de algum tipo de compromisso”, confiando em "um processo ad hoc para detectar intrusos".
O relatório destacou 10 recomendações e a NASA aceitou que todas, exceto uma delas, iniciassem um processo formal de busca de ameaças.