Pages

4 lut 2016

Włamanie do NASA, hakerzy wykradli 276GB wrażliwych danych!

Po raz kolejny Biuro Bezpieczeństwa NASA (National Aeronautics and Space Administration) padło ofiarą ataku hakerów. Tym razem grupa o nazwie AnonSec zadała mocny cios i zdołała wykraść wrażliwe dane. Bardzo dużo danych, bo około 276GB (!), a co więcej - część z nich została już upubliczniona. Wg tego źródła, złośliwe oprogramowanie zostało zainstalowane na ponad 10 000 stacji roboczych podpiętych do wewnętrznej sieci NASA. Hakerzy działali sobie w tejże sieci bez wykrycia przez kilka... miesięcy. Grupa AnonSec dała o sobie znać w świece cybernetycznym już jakiś czas temu, również za sprawą ataków skierowanych w NASA. Członkowie AnonSec twierdzą, że 276GB poufnych i wrażliwych wykradzionych przez nich danych zawiera m.in. 631 filmów z samolotów i radarów pogodowych, 2143 dzienniki lotów oraz poświadczenia 2414 pracowników NASA, w tym adresy e-mail w domenie nasa.gov i ich numery kontaktowe.
Opublikowanych danych jest naprawdę mnóstwo, a grupa AnonSec na facebooku twierdzi, iż w wykradzionych dokumentach pojawiają się dowody na operacje wykorzystujące smugi chemiczne (chemtrails) oraz program... wykorzystujący drony do kontroli pogody - operacja pod kryptonimem Global Hawk.

Fragment wykradzionych przez hakerów danych dotyczących pracowników NASA
AnonSec wydała także własną publikację o nazwie "Zine", w której wyjaśniają jak dokonali włamania i przejęcia danych. Według pewnego źródła, zakupili oni "dostęp" do sieci NASA od... chińskich hakerów już w 2013 roku, a płatność dokonana została z wykorzystaniem waluty BitCoin. Więcej szczegółów w dalszej części artykułu. Do przeprowadzenia włamania i operacji wykradnięcia danych, wykorzystali m.in. takie narzędzia jak: 
  • dirbuster;
  • Bluto;
  • Nmap;
  • Wireshark;
  • tcpdump;
  • egrep;
  • mimikatz;
  • Network Miner;
  • Wapiti;
  • hydra, oraz wiele, wiele innych.
Hakerzy wykorzystali ponadto cztery podatności typu 0-day:
  • Mauritania Attackers 2014 bypasses & r00t Symlink Exploits;
  • CVE-2013-5065;
  • CVE-2014-0038;
  • WD My Book World Edition SSH root remote enable.
Ta ostatnia podatność jest szczególnie ciekawa, bo dotyczy pamięci masowych a dokładniej przenośnych dysków WD My Book. Jak się okazało, część wykradzionych danych pochodzi właśnie z tych urządzeń. Ponadto, hakerzy dokonali włamu poprzez SSH (atak typu brute-force) i przechwytywali pakiety narzędziem tcpdump. Komentarz AnonSec w tej sprawie:

After purchasing an “initial foothold” from a hacker with knowledge of NASA servers over two years ago, the group says it began testing how many machines it could “break into” and “root” – a term referring to an account with complete control over a computer or network.
Brute forcing an administrator’s SSH password, which reportedly only took “0.32” seconds due to the credentials being left as default, AnonSec gained further access inside – allowing them to grab even more login data with a hidden packet sniffer (tcpdump).

Po przeskanowaniu sieci, hakerzy znaleźli kilka urządzeń typu NAS o wszystko mówiących nazwach: DRONE_BACKUPS, DRONE_BACKUPS2, DRONE_BACKUPS3. Aby się do nich dostać, hakerzy najpierw przeskanowali porty na tych urządzeniach. Odkryli oni, że tylko te o numerach 21 i 80 pozostają aktywne. Byli zdziwieni, gdy okazało się, że domyślne hasła zostały jednak zmienione i nie mogą uzyskać dostępu, więc wykorzystali podatność 0-day (podobną do CVE-2013-2251) w procesie aktualizacji firmware WD My Book, które pracowały jako NAS:

 
Po przeprowadzeniu tej operacji hakerzy mimo wszystko nie uzyskali dostępu do roota poprzez SSH. Nie poddali się jednak i ostatecznie uzyskali pełny dostęp do roota na trzy urządzenia NAS, podsłuchując ruch HTTP na urządzenia:

Podsłuchane przez hakerów dane uwierzytelniające działały na wszystkich trzech urządzeniach NAS, a złożoność hasła była fatalna.

Ponadto, znaleźliśmy także ten ciekawy fragment pochodzący z prasy:
According to Thomas Fox-Brewster of Forbes, who spoke to the hackers over Jabber, AnonSec initially purchased initial access to the network from Chinese hackers using Bitcoin in 2013, then discovered that many of the administrator credentials for Nasa computers and servers were left on default, so they explored the network looking for systems to exploit until they found some.

Strona NASA była przez jakiś czas niedostępna
(źródło: http://www.infowars.com)

Niestety kolejny raz zło jest górą. Pozostaje także pytanie, dlaczego działalność AnonSec w wewnętrznej sieci NASA przez tak długi okres czasu nie została wykryta.

Źródło:
Opracowanie własne na podstawie: http://www.ibtimes.co.uk, http://www.infowars.com oraz materiałów grupy AnonSec.

10 komentarzy:

  1. Zły to jest Putler, a AnonSec działa nieetycznie (ujawnili dane). Jednak korzyści też są: pokazali jak marne są zabezpieczenia instytucji, które mają wielomiliardowe budżety oraz wiele ciekawych informacji. To tak jak z włamem np. do HT, ktory obnażył nikczemne praktyki tej firmy.

    OdpowiedzUsuń
  2. no dobra gdzie zdjęcia szaraków w spodkach ?

    OdpowiedzUsuń
  3. NASA opublikowała ponad 10 000 zdjęć z lądowania na Księżycu:
    https://www.flickr.com/photos/projectapolloarchive/page142

    OdpowiedzUsuń
  4. Wykradli ogólnodostępne dane. ;)

    https://www.metabunk.org/debunked-anonsecs-nasa-hack-global-hawk-hijack-evidence-of-chemtrails-public-domain-data.t7253/

    OdpowiedzUsuń
  5. Jakieś dzienniki lotów itp., o których tylko wspomnieliśmy to być może publiczne dane, ale poświadczenia ponad 2000 pracowników NASA, w tym adresy e-mail w domenie nasa.gov i ich numery kontaktowe to już nie są publiczne dane i ogólnodostępne dane więc można odpowiedzieć sobie samemu...

    OdpowiedzUsuń
  6. Korzystając z szukajki na https://people.nasa.gov/ dostajemy imię, nazwisko, mail, nr telefonu.

    OdpowiedzUsuń
  7. Ciekawy wpis. Rzeczywiście nieraz dochodzą do nas słuchy o atakach hakerów, którzy paraliżują działania wielkich korporacji. Dawniej myślałem sobie, że tego typu wykradanie danych dotyczy właśnie tylko takich grubych ryb. A jednak, zwykli szarzy ludzie, też często padają ofiarą złodziei danych osobowych, które nie były w odpowiedni sposób zabezpieczone. Także osobiście wolę w pierwszej kolejności zadbać o instalację dobrego antywirusa i systematycznie robić kopie zapasowe, ważnych dla mnie danych. Lepiej dmuchać na zimne, niż później żałować, że się o coś nie zadbało.

    OdpowiedzUsuń
  8. Takie akcje są coraz częstsze - niestety, aby temu zapobiec potrzebna jest solidna tarcza zbudowana z najlepszych zabezpieczeń.

    OdpowiedzUsuń