美國NASA承認被「廉價電腦入侵高端伺服主機」的事實，駭客用35美元的樹莓派偷走火星500MB數據

平時看科幻或犯罪片，常有一些高手黑客在破舊的黑白電腦上敲幾行代碼，就成功入侵大型商業銀行或者X國國防部加密服務器的橋段。

雖說電影多有藝術化和虛構成分，但劇情倒也不是天馬行空。最近，美國NASA便向大家承認了這種「廉價的電腦入侵高端服務器」的事實。

美國NASA（NASA）監察長辦公室（OIG）本周發布報告稱，2018年4月黑客曾入侵該機構網路，竊取了約500MB數據。

火星任務數據被盜，入侵設備僅35美元

作為開源且廉價的Linux單片機設備，Raspberry Pi（樹莓派）被大批量引入校園計算機教育體系。 67歲洪金寶舊傷復發，只能坐輪椅，兒媳婦周家蔚談及此事還落淚正是使用了這樣一台價值35美元（折合人民幣240元）的廉價樹莓派設備。

在未經授權或者在繞過安全審查的情況下連接到NASA噴氣推進實驗室（JPL）的IT網路上，並盜走了35個文件夾中的500MB數據。

在外媒的報導中，信息安全分析師邁克·湯普森分析，這次黑客入侵行為使得JPL對於建造和運行行星機器人太空船的保密信息遭到泄露。攻擊的背後，或許伴隨著更多尖端科技專利遭到破壞。

對此，JPL拒絕發表評論。但是，NASA官員對於上述猜測給予肯定。他們認為，襲擊事件發生後，黑客可以更深入的進行攻擊，並最終入侵任務系統操縱裁人太空任務的通訊信號。

OIG發布的報告中指出，造成此次黑客攻擊的原因很可能是JPL部門沒有使信息技術安全數據庫（ITSDB）處於實時更新狀態，導致其存在潛在的安全漏洞。

電影《火星任務》海報圖

值得一提的是，NASA透露在此次被盜的500MB數據中，很大一部分與美國計劃執行的火星任務相關，這也間接證明或許此次黑客攻擊另有原因。

調查人員稱，黑客除了入侵訪問JPL任務網路外，還訪問了JPL的DSN（深空網路）。這迫使NASA斷開了後者與JPL的網路連接，以防被二次攻擊。

黑莓為後被攻破，可能為中間人攻擊

這份多達49頁的OIG報告中提到，黑客通過入侵一個共享網路網關並利用該入口深入JPL網路。

原文是這樣說的：

The April 2018 cyberattack exploited this particular weakness when the hacker accessed the JPL network by targeting a Raspberry Pi computer that was not authorized to be attached to the JPL network. The device should not have been permitted on the JPL network without the JPL OCIO’s review and approval.

翻譯過來就是：

2018年4月的網路攻擊利用了這個特殊的弱點，黑客攻擊了一台未經授權連接到JPL網路的樹莓派電腦，從而進入了JPL網路。沒有JPL OCIO的審核和批准，該設備不應該被允許進入JPL網路。

沒錯，這里的樹莓派並非黑客準備的，而是極大可能在NASA內部有人接入了一台樹莓派之後被入侵所導致。

對於上述描述，有安全人士猜測這是利用黑莓派發動中間人攻擊的典型案例，以路由器攻擊為例：

將樹莓派Zero插入MikroTik hAP的USB口。此時，樹莓派已經能管理所有路由器的所有流量，它能「幫助」攻擊者控制整個網路。

攻擊原理如下：

從MikroTik開始，這個品牌的很多路由器都支持3g和4g USB加密狗。而且，不只是小型路由器如hAP，還有一些更大的機架式路由器同樣如此。

默認情況下，這些設備都擁有一個輔助的USB WAN接口（通過USB接口進行網路連接）。

配置好的樹莓派顯示為LTE接口

對黑莓派設置了P4wnP1的默認網路設備描述符以及一個Linksys網路適配器的VID/PID，因此它會被識別為一個新的WAN接口。

一旦插上路由器，路由器就會發送DHCP請求為這個新的lte1接口分配IP地址。

然後，樹莓派的DHCP響應會包含一些額外的路由指令，作用是「將所有互聯網流量導向到lte1接口」，其中涉及的指令如下。

接受樹莓派的DHCP響應後路由器的路由表

Samy Kamkar，Rob Fuller，P4wnP1，以及確信早已有人在BadUSB攻擊中利用過DHCP這項協議。但是，由於攻擊目標是路由器，因此所有局域網內的主機都會受到影響。

當然，樹莓派不是一個真正的WAN接口。它並不能提供上網功能，而且這里還存在死循環問題。

USB的流量會倒回去

目前解決這個問題的方法是通過VPN服務器轉發所有流量。在BadUSB發出的路由指令中，不會把指向特定VPN服務器的流量倒回。這樣，樹莓派就可以將所有數據傳輸到遠程VPN服務器，VPN服務器再將數據轉發到互聯網上。

最終架構

只要一切正常，局域網內的請求和響應都可以正常流通。在下圖中，可以通過traceroute命令看到MikroTik路由器將流量傳輸到樹莓派，然後再傳輸到VPN服務器，最後傳輸到公網中。

網友：NASA有內鬼？

正如上述，極大可能是NASA內部有人使用樹莓派連接到內部網路之後被黑客攻入。

對此，有網友猜測：是不是NASA出現了內鬼？很快，這樣的猜測被其他網友否認了，他們認為這也許只是某個倒霉蛋的無意之舉。

考慮到近一年內尚未受到過類似程度的網路攻擊，NASA OIG已將其列為一種高級持續威脅，更多信息將在NASA針對這起事件的調查工作結束後公布。

網友們覺得，此次NASA丟失的這500MB數據的重要性將直接決定此次APT事件的影響大小。而鑒於NASA這次毫不遮掩的「坦白」行為，不少網友覺得似乎無關緊要。

參考來源：

知乎丨NOSEC

https://zhuanlan.zhihu.com/p/60704982

Chiphell社區

https://www.chiphell.com/thread-2009421-1-1.html

AI財經社

https://baijiahao.baidu.com/s?id=1637116390074707484&wfr=spider&for=pc

—–招聘好基友的分割線—–

招聘崗位：

網路安全編輯（采編崗）

工作內容：

主要負責報導國內外網路安全相關熱點新聞、會議、論壇、公司動向等；

採訪國內外網路安全研究人員，撰寫原創報導，輸出領域的深度觀點；

針對不同發布管道，策劃不同類型選題；

參與打理宅客頻道微信公眾號等。

崗位要求：

對網路安全有興趣，有相關知識儲備或從業經歷更佳；

科技媒體1-2年從業經驗；

有獨立采編和撰寫原創報導的能力；

加分項：網感好，擅長新媒體寫作、90後、英語好、自帶段子手屬性……

你將獲得的是：

與國內外網路安全領域頂尖安全大牛聊人生的機會；

國內出差可能不新鮮了，我們還可以矽谷輪崗、國外出差（+順便玩耍）；

你將體驗各種前沿黑科技，掌握一手行業新聞、大小公司動向，甚至是黑客大大們的獨家秘聞；

老司機編輯手把手帶；

以及與你的能力相匹配的薪水。

坐標北京，簡歷投遞至：[email protected]