这个黑客不是普通的黑客。
文本 | 灵火K
在观看科幻片或犯罪片时,经常会看到这样的场景:黑客高手只需在老式的黑白电脑上输入几行代码,就能成功入侵大型商业银行或X国国防部的加密服务器。
虽然电影多为艺术虚构,但情节并不天马行空,近日,NASA向大家坦承“廉价电脑入侵高端服务器”。
美国宇航局监察长办公室 (OIG) 本周发布了一份报告称,黑客于 2018 年 4 月侵入了该机构的网络并窃取了约 500MB 的数据。
火星任务数据被盗,黑客设备仅需 35 美元
树莓派作为一款开源且廉价的Linux微控制器设备,已经被大量引入校园计算机教育体系,黑客所用的就是这款价值35美元(折合人民币240元)的廉价树莓派设备。
攻击者未经授权或绕过安全许可,连接到美国宇航局喷气推进实验室(JPL)的 IT 网络,并从 35 个文件夹中窃取了 500MB 的数据。
在外媒的报道中,信息安全分析师迈克·汤普森分析称,此次黑客行为导致JPL行星机器人航天器建造和运行的机密信息被泄露,此次攻击的背后,或许还有更多的前沿技术专利遭到破坏。
JPL 对此拒绝发表评论。不过 NASA 官员证实了上述猜测。他们认为,黑客在此次攻击之后还能进行更深入的攻击,最终入侵任务系统,操纵太空任务的通讯信号。
OIG发布的报告指出,此次黑客攻击事件发生的原因很有可能是JPL部门没有对信息技术安全数据库(ITSDB)进行实时更新,从而导致存在潜在的安全漏洞。
火星任务的电影海报
值得一提的是,NASA透露,被窃取的500MB数据中,很大一部分与美国计划的火星任务有关,这也间接证明此次黑客攻击可能还有其他原因。
调查人员表示,除了访问JPL任务网络外,黑客还访问了JPL的DSN(深空网络),迫使NASA断开后者与JPL网络的连接,以防止二次攻击。
黑莓手机遭中间人攻击
这份长达 49 页的 OIG 报告称,黑客通过破坏共享网络网关并使用该入口点获得了 JPL 网络的访问权限。
原文是这样的:
2018 年 4 月的网络攻击利用了这一特殊漏洞,黑客通过未经授权连接到 JPL 网络的 Raspberry Pi 计算机访问了 JPL 网络。未经 JPL OCIO 的审查和批准,该设备不应被允许进入 JPL 网络。
翻译:
2018 年 4 月的网络攻击利用了这一漏洞,黑客通过入侵未经授权连接到 JPL 网络的 Raspberry Pi 计算机来访问 JPL 网络。未经 JPL OCIO 审核和批准,该设备不应被允许访问 JPL 网络。
没错,这里的树莓派并不是黑客准备的,但很有可能是 NASA 内部有人连接了树莓派然后遭到黑客攻击造成的。
对于上述描述,有安全专家推测,这是一个利用BlackBerry Pi进行中间人攻击的典型案例,以路由器攻击为例:
将Raspberry Pi Zero插入MikroTik hAP的USB口,此时Raspberry Pi可以管理所有路由器的所有流量,它可以“帮助”攻击者控制整个网络。
攻击原理如下:
从 MikroTik 开始,该品牌的许多路由器都支持 3g 和 4g USB 适配器。而且,不仅是 hAP 等小型路由器,一些较大的机架式路由器也支持。
默认情况下,这些设备具有辅助 USB WAN 接口(通过 USB 接口进行网络连接)。
配置好的Raspberry Pi显示为LTE界面
BlackBerry Pi 设置了默认网络设备描述符 P4wnP1 和 Linksys 网络适配器的 VID/PID,因此它将被识别为新的 WAN 接口。
一旦插入路由器,路由器将发送 DHCP 请求,为这个新的 lte1 接口分配一个 IP 地址。
然后,Raspberry Pi 的 DHCP 响应包含一些额外的路由指令,以“将所有互联网流量引导至 lte1 接口”。所涉及的指令如下。
路由器收到 Raspberry Pi 的 DHCP 响应后的路由表
Samy Kamkar、Rob Fuller、P4wnP1 等人已经在 BadUSB 攻击中使用过 DHCP。但是,由于攻击的目标是路由器,因此 LAN 中的所有主机都会受到影响。
当然,Raspberry Pi 并不是真正的 WAN 接口,它不能提供 Internet 访问,并且还存在无限循环的问题。
USB 流量将被逆转
目前解决这个问题的方法是将所有流量都通过 VPN 服务器转发。在 BadUSB 发出的路由指令中,指向特定 VPN 服务器的流量不会被反向转发。这样,Raspberry Pi 就可以将所有数据传输到远程 VPN 服务器,VPN 服务器会将数据转发到互联网。
最终架构
只要一切正常,请求和响应就能在局域网内正常流动。下图中,通过 traceroute 命令可以看到 MikroTik 路由器将流量传输到树莓派,再到 VPN 服务器,最后到公网。
网友:NASA有叛徒吗?
正如上文所说,NASA 内部有人使用 Raspberry Pi 连接内部网络,然后遭到黑客攻击的可能性极大。
对此,有网友猜测:NASA里是不是有内鬼?很快,这样的猜测就被其他网友否定了,他们认为,这可能只是某个倒霉蛋的无意之举。
考虑到近一年来没有发生过类似规模的网络攻击,NASA OIG 已将其归类为高级持续性威胁。NASA 完成对事件的调查后将公布更多信息。
网友们觉得,NASA丢失的500MB数据的重要性,将直接决定此次APT事件的影响程度。不过,考虑到NASA这次的“坦率”行为,不少网友觉得,这似乎微不足道。
参考来源:知乎丨NOSEC;Chiphell社区;AI金融协会
