美国宇航局(NASA)监察长办公室(OIG)本周发布报告称,2018年4月黑客曾入侵该机构网络,窃取了约500MB数据。
火星任务数据被盗,入侵设备仅35美元
作为开源且廉价的Linux单片机设备,Raspberry Pi(树莓派)被大批量引入校园计算机教育体系。黑客正是使用了这样一台价值35美元(折合人民币240元)的廉价树莓派设备。
在未经授权或者在绕过安全审查的情况下连接到NASA喷气推进实验室(JPL)的IT网络上,并盗走了35个文件夹中的500MB数据。
在外媒的报道中,信息安全分析师迈克·汤普森分析,这次黑客入侵行为使得JPL对于建造和运行行星机器人太空船的保密信息遭到泄露。攻击的背后,或许伴随着更多尖端科技专利遭到破坏。
对此,JPL拒绝发表评论。但是,NASA官员对于上述猜测给予肯定。他们认为,袭击事件发生后,黑客可以更深入的进行攻击,并最终入侵任务系统操纵裁人太空任务的通讯信号。
OIG发布的报告中指出,造成此次黑客攻击的原因很可能是JPL部门没有使信息技术安全数据库(ITSDB)处于实时更新状态,导致其存在潜在的安全漏洞。
值得一提的是,NASA透露在此次被盗的500MB数据中,很大一部分与美国计划执行的火星任务相关,这也间接证明或许此次黑客攻击另有原因。
调查人员称,黑客除了入侵访问JPL任务网络外,还访问了JPL的DSN(深空网络)。这迫使NASA断开了后者与JPL的网络连接,以防被二次攻击。
黑莓为后被攻破,或为中间人攻击
这份多达49页的OIG报告中提到,黑客通过入侵一个共享网络网关并利用该入口深入JPL网络。
原文是这样说的:
The April 2018 cyberattack exploited this particular weakness when the hacker accessed the JPL network by targeting a Raspberry Pi computer that was not authorized to be attached to the JPL network. The device should not have been permitted on the JPL network without the JPL OCIO’s review and approval.
翻译过来就是:
2018年4月的网络攻击利用了这个特殊的弱点,黑客攻击了一台未经授权连接到JPL网络的树莓派电脑,从而进入了JPL网络。没有JPL OCIO的审核和批准,该设备不应该被允许进入JPL网络。
没错,这里的树莓派并非黑客准备的,而是极大可能在NASA内部有人接入了一台树莓派之后被入侵所导致。
对于上述描述,有安全人士猜测这是利用黑莓派发动中间人攻击的典型案例,以路由器攻击为例:
将树莓派Zero插入MikroTik hAP的USB口。此时,树莓派已经能管理所有路由器的所有流量,它能“帮助”攻击者控制整个网络。
攻击原理如下:
从MikroTik开始,这个品牌的很多路由器都支持3g和4g USB加密狗。而且,不只是小型路由器如hAP,还有一些更大的机架式路由器同样如此。
默认情况下,这些设备都拥有一个辅助的USB WAN接口(通过USB接口进行网络连接)。
配置好的树莓派显示为LTE接口
对黑莓派设置了P4wnP1的默认网络设备描述符以及一个Linksys网络适配器的VID/PID,因此它会被识别为一个新的WAN接口。
一旦插上路由器,路由器就会发送DHCP请求为这个新的lte1接口分配IP地址。
然后,树莓派的DHCP响应会包含一些额外的路由指令,作用是“将所有互联网流量导向到lte1接口”,其中涉及的指令如下。
接受树莓派的DHCP响应后路由器的路由表
Samy Kamkar,Rob Fuller,P4wnP1,以及确信早已有人在BadUSB攻击中利用过DHCP这项协议。但是,由于攻击目标是路由器,因此所有局域网内的主机都会受到影响。
当然,树莓派不是一个真正的WAN接口。它并不能提供上网功能,而且这里还存在死循环问题。
USB的流量会倒回去
目前解决这个问题的方法是通过VPN服务器转发所有流量。在BadUSB发出的路由指令中,不会把指向特定VPN服务器的流量倒回。这样,树莓派就可以将所有数据传输到远程VPN服务器,VPN服务器再将数据转发到互联网上。
最终架构
只要一切正常,局域网内的请求和响应都可以正常流通。在下图中,可以通过traceroute命令看到MikroTik路由器将流量传输到树莓派,然后再传输到VPN服务器,最后传输到公网中。
网友:NASA有内鬼?
正如上述,极大可能是NASA内部有人使用树莓派连接到内部网络之后被黑客攻入。
对此,有网友猜测:是不是NASA出现了内鬼?很快,这样的猜测被其他网友否认了,他们认为这也许只是某个倒霉蛋的无意之举。
考虑到近一年内尚未受到过类似程度的网络攻击,NASA OIG已将其列为一种高级持续威胁,更多信息将在NASA针对这起事件的调查工作结束后公布。
网友们觉得,此次NASA丢失的这500MB数据的重要性将直接决定此次APT事件的影响大小。而鉴于NASA这次毫不遮掩的“坦白”行为,不少网友觉得似乎无关紧要。
参考来源:知乎丨NOSEC;Chiphell社区;AI财经社
相关文章:
报告:黑客曾利用连着JPL网络的树莓派设备攻入NASA网络