La NASA piratée à cause d’un Raspberry Pi non autorisé connecté à son réseau

La NASA a décrit les pirates comme une «menace persistante avancée», un terme généralement utilisé pour désigner les groupes de piratage des États-nations.

Un rapport publié cette semaine par le bureau de l’inspecteur général de la NASA révèle qu’en avril 2018, des pirates informatiques ont violé le réseau de l’agence et volé environ 500 Mo de données liées aux missions sur Mars.

Le point d’entrée était un appareil Raspberry Pi qui était connecté au réseau informatique du laboratoire de propulsion à jet de la NASA (JPL) sans autorisation ou sans passer par l’examen de sécurité approprié.

LES PIRATES ONT VOLÉ LES DONNÉES DES MISSIONS SUR MARS

Selon un rapport du BIG de 49 pages , les pirates ont utilisé ce point d’entrée pour pénétrer plus profondément dans le réseau JPL en piratant une passerelle de réseau partagé.

Les pirates ont utilisé cette passerelle réseau pour pivoter à l’intérieur de l’infrastructure de JPL et ont eu accès au réseau qui stockait des informations sur les missions Mars gérées par le JPL de la NASA, d’où il a exfiltré des informations.

Le rapport du BIG indique que les pirates ont utilisé « un système d’utilisateur externe compromis » pour accéder au réseau des missions du JPL.

« L’attaquant a exfiltré environ 500 mégaoctets de données à partir de 23 fichiers, dont 2 contenaient des informations sur le trafic international des armes relatives à la mission Mars Science Laboratory », a déclaré le BIG de la NASA.

Le Mars Science Laboratory est le programme JPL qui gère le rover Curiosity sur Mars, entre autres projets.

DES PIRATES INFORMATIQUES ONT ÉGALEMENT VIOLÉ LE RÉSEAU D’ANTENNES PARABOLIQUES DE LA NASA

Le rôle principal de la division JPL de la NASA est de construire et d’exploiter des engins spatiaux robotiques planétaires tels que le rover Curiosity, ou les divers satellites qui gravitent autour des planètes du système solaire.

En outre, le JPL gère également le Deep Space Network (DSN) de la NASA, un réseau mondial d’antennes paraboliques utilisées pour envoyer et recevoir des informations des vaisseaux spatiaux de la NASA lors de missions actives.

Les enquêteurs ont déclaré qu’en plus d’accéder au réseau de mission du JPL, l’intrus d’avril 2018 avait également accédé au réseau informatique DSN du JPL. À la découverte de l’intrusion, plusieurs autres installations de la NASA se sont déconnectées des réseaux JPL et DSN, craignant que l’attaquant ne pivote également vers leurs systèmes.

LES HACKERS DÉCRITS COMME UN APT

« Classée comme une menace persistante avancée, l’attaque n’a pas été détectée pendant près d’un an », a déclaré le BIG de la NASA. « L’enquête sur cet incident est en cours. »

Le rapport a blâmé l’échec du JPL à segmenter son réseau interne en segments plus petits, une pratique de sécurité de base qui rend plus difficile pour les pirates de se déplacer à l’intérieur des réseaux compromis avec une relative facilité.

L’OIG de la NASA a également reproché au JPL de ne pas avoir tenu à jour la base de données sur la sécurité des technologies de l’information (ITSDB). L’ITSDB est une base de données pour le personnel informatique du JPL, où les administrateurs système sont censés enregistrer chaque périphérique connecté au réseau JPL.

Le BIG a constaté que l’inventaire de la base de données était incomplet et inexact. Par exemple, la carte Raspberry Pi compromise qui servait de point d’entrée n’avait pas été inscrite dans l’inventaire ITSDB.

En outre, les enquêteurs ont également constaté que le personnel informatique du JPL était à la traîne lorsqu’il s’agissait de résoudre les problèmes liés à la sécurité.

«Nous avons également constaté que les tickets de journal des problèmes de sécurité, créés dans l’ITSDB lorsqu’une vulnérabilité de sécurité potentielle ou réelle du système informatique est identifiée, n’ont pas été résolus pendant des périodes prolongées, parfois supérieures à 180 jours», indique le rapport.

APT10 ÉTAIT-IL DERRIÈRE LE HACK?

En décembre 2018, le ministère américain de la Justice a inculpé deux ressortissants chinois pour piratage de fournisseurs de cloud, la NASA et l’US Navy. Le DOJ a déclaré que les deux pirates faisaient partie de l’une des unités de piratage d’élite du gouvernement chinois connue sous le nom d’APT10.

Les deux ont été accusés d’avoir piraté le centre spatial Goddard de la NASA et le laboratoire de propulsion à réaction. On ne sait pas s’il s’agit de la «menace persistante avancée» qui a piraté le JPL en avril 2018 car l’acte d’accusation du DOJ n’a pas fourni de date pour l’intrusion du JPL d’APT10.

Toujours en décembre 2018, la NASA a annoncé une autre brèche . Il s’agissait d’un incident distinct du piratage d’avril 2018. Cette deuxième faille a été découverte en octobre 2018 et le ou les intrus n’ont volé que les informations relatives aux employés de la NASA.