En angriper som omtales som en avansert, vedvarende trussel (APT – Advanced Persistent Threat) skal i rundt ti måneder ha hatt tilgang til to av de tre sentrale datanettverkene som Nasa-eide Jet Propulsion Laboratory (JPL) administrerer. Dette skriver Nasa Office of Inspector General (OIG) i en rapport som også er omtalt av ZDNet.
En halv gigabyte
Innbruddet ble oppdaget i april 2018. Før dette skal angriperne ha hentet ut omtrent 500 megabyte med data, fordelt på 23 filer.
To av disse skal ha inkludert ITAR-regulerte (International Traffic in Arms Regulations) data i tilknytning til Mars Science Laboratory-oppdraget, hvor Curiosity Rover blant annet brukes til å samle inn og analysere jord- og steinprøver.
Les også: «Curiosity» fikk minnefeil
Raspberry Pi
Angriperne skal ha fått tilgang til nettverkene via en Raspberry Pi-enhet som var tilknyttet JPL-nettverket, men som ikke var autorisert for dette. Systemet som JPL benytter for å spore og administrere maskinvare og applikasjoner i nettverket, Information Technology Security Database (ITSDB), skal på dette tidspunktet ha vært både ufullstendig og unøyaktig.
Raspberry Pi-enheten var ikke oppgitt i dette registeret.
Dette skal ha gjort det mulig for angriperne å oppnå uautorisert tilgang til JPLs romferdsnettverk via et kompromittert, eksternt brukersystem, altså den nevnte Raspberry Pi-enheten.
Også tidligere: Svenske siktet for hack mot Cisco og NASA
Deep Space Network
JPL drifter i alt tre sentrale nettverk. Det ene benyttes til administrative og supportrelaterte oppgaver. Det andre støtter Nasa-oppdrag som er i gang eller under utvikling, mens det tredje er et nettverk som støtter Deep Space Network (DSN), som JPL drifter på vegne av Nasa.
Det er trolig de to sistnevnte nettverkene angriperne skal ha fått tilgang til.
Nasa omtaler DSN som det største og mest sensitive, vitenskapelige telekommunikasjonsnettverket i verden. Det er via dette at romfartsorganisasjonen holder kontakt med blant annet interplanetariske romfartøyer.
I rapporten kommer Nasa OIG med en rekke anbefalinger om bedre IT-sikkerhet, samtidig som det understrekes at etterforskningen av det nevnte innbruddet fortsatt pågår. I rapporten nevnes det også at JPL-nettverket har vært utsatt for mer eller mindre vellykkede angrep en rekke ganger tidligere. Det eldste som er nevnt, skal ha skjedd i januar 2009.
Dette resulterte i at 22 gigabyte med programdata ble overført til en kinesisk IP-adresse.
Les også: - Hacket NASA-satellitter fra Norge