Vor Kurzem wurde bekannt, dass der NASA bei einem Hackerangriff sensible Daten über die Mars-Mission gestohlen wurden – inklusiv Details über das Mondfahrzeug „Curiosity“.
Der Hackerangriff galt dem Netzwerk der Jet Propulsion Laboratorys (JPL) der NASA und blieb zehn Monate unentdeckt, wie man dem Bericht des NASA-Büros des Generalinspektors (OIG) entnehmen kann.
„Im April 2018 stellte die JPL fest, dass ein User Account einer externen Person kompromittiert und dazu benutzt wurde, 500 MB Daten von einem der wichtigsten Missionssysteme zu stehlen.“, heißt es in dem Bericht. Man geht davon aus, dass eine APT-Gruppe für den Hackerangriff verantwortlich war.
Der Cyber-Angriff gestaltete sich recht unkonventionell. Es stellte sich heraus, dass Hacker einen Raspberry Pi mit Zugang zum JPL-Netzwerk als Einfallsvektor benutzten. Die Eindringlinge breiteten sich danach im ganzen Netzwerk aus.
In dem Bericht wird allerdings kein Wort darüber verloren, wer hinter dem NASA-Cyber-Angriff steckt, noch wer den Raspberry Pi bei der NASA stationierte und mit dem JPL-Netzwerk verband.
Sehr wohl klar sein dürfte, dass die OIG von den Cybersicherheits-Vorkehrungen der Weltraumbehörde NASA nicht sehr beeindruckt war.
Nachlässige IT-Abteilung und klaffende Sicherheitsschwachstellen
"Die JPL verzeichneten in den letzten 10 Jahren mehrere beachtliche Cybersicherheitsvorfälle, die große Teile des IT-Netzwerks in Mitleidenschaft zogen", heißt es in dem überaus kritischen Bericht.
Die Kritik reißt damit aber noch nicht ab. Es gibt eine ganze Liste mit Versäumnissen in den Netzwerksicherheitskontrollen der NASA, aus der die Gefährdung von Daten und Systemen ersichtlich wird. "Mehrere Schwachstellen in der IT-Sicherheitskontrolle minderten die Handlungsfähigkeit der JPL, Hackerangriffe auf Systeme und Netzwerke zu verhindern, zu erkennen oder deren Folgen zu mildern. Dadurch wurden NASA-Systeme und -Daten der Ausbeutung durch Cyberkriminelle ausgesetzt."
Der Raspberry Pi -Vorfall, welcher auch durch den mangelnden Überblick über die mit dem NASA-Netzwerk verbundenen Geräte zustande kam, untermalt die Unzulänglichkeiten bei der JPL. Das bedeutet, dass dem NASA-Netzwerk neue Geräte hinzugefügt wurden, ohne dass ein Sachverständiger eine Sicherheitsprüfung durchführte und die Dienststelle darüber informiert wurde.
Der Bericht bescheinigt zudem eine fehlende Netzwerksegmentierung. Genau das nutzten die Hacker letztendlich aus, um im gesamten Netzwerk via Gateway schnüffeln zu können. Über das Gateway erhalten externe Benutzer und deren Partner, einschließlich ausländischer Raumfahrtagenturen, Auftragnehmer und Bildungseinrichtungen, Fernzugriff auf eine gemeinsame Netzwerk-Umgebung.
Weiterhin kommt der Bericht zu dem Ergebnis, dass Sicherheits-Log-Tickets, welche das Anwenden von Security Patches oder das Updaten von System-Konfigurationen beinhalteten, für mehr als sechs Monate unbearbeitet blieben. Und das, obwohl die Systemadministratoren maximal 30 Tage dafür Zeit hatten.
Solche hinterherhinkenden Prozesse trugen maßgeblich dazu bei, dass die Raspberry-Pi-Eindringlinge leichtes Spiel hatten. Immerhin eines der vier kompromittierten Systeme war nicht rechtzeitig auf die Sicherheitsanfälligkeit gepatcht worden.
Die Hacker versuchten auch, in das Deep Space Network (DSN) der NASA zu gelangen. Allerdings wurden sie vom Johnson Space Center entdeckt, worauf hin diese sich vom Gateway abkoppelten. Die International Space Station (ISS) wird zum Teil von hier aus verwaltet. Man befürchtete, dass die Cyber-Angreifer sich über das Gateway Zugang zu den Missionssystemen verschaffen wollten und schädliche Signale an bemannte Weltraummissionen senden würden.
Im Bericht merkte man außerdem an, dass JPL kein Programm zur Bedrohungsfrüherkennung benutzt, um anormale Aktivitäten zu verfolgen und rechtzeitig Alarm zu schlagen. Stattdessen setze man bei der Erkennung von Eindringlingen auf Ad-hoc-Verfahren. Man skizzierte zehn Empfehlungen zur formalen Bedrohungsfrüherkennung, welche bis auf eine von der NASA angenommen wurden.