Comment les hackers d’Anonsec ont tenté de crasher un drone de la Nasa

Nasa-GlobalHawkLe groupe de hackers Anonsec vient de revendiquer le vol de centaines de giga octets de données relatives aux vols des drones Global Hawk de la Nasa. Ces gros avions sans pilote, à 222,7 millions de dollars pièce, sont utilisés par l’agence américaine afin de réaliser des mesures diverses dans l’atmosphère. Ils ne sont bien évidemment pas armés. Plus inquiétant, les hackers ont bouclé leur raid informatique par une tentative de sabotage. Ils ont préparé un plan de vol qui devait mener le Global Hawk à se crasher dans l’Océan Pacifique. Un plan de vol qui a fort heureusement n’a pas été suivi par le drone jusqu’au bout !

Un cheval de Troie a ouvert un accès à trois centres de recherche de la NASA aux hackers

Quand on pense à la Nasa, on imagine des supercalculateurs parmi les plus puissants au monde, les meilleurs informaticiens et une sécurité sans faille. C’est le cas, tout au moins en partie. Le récit de l’attaque réalisée par les hackers du groupe « Anonsec » montre qu’il n’en est rien. Ceux-ci ont tout simplement acheté sur le marché noir l’accès à un poste infecté par un cheval de Troie, le virus Gozi. Sans grand intérêt, cette machine ne dispose que de droits d’accès très limités dans le système d’information de la Nasa. Il s’agit d’une machine sous Linux Debian, une version à jour mais les hackers vont néanmoins utiliser des failles (« 2014 bypasses » et « symlink ») qui vont leur permettre d’installer leurs outils sur cette machine. Le ver est désormais dans le fruit.

Avec près de 40 m d'envergure et plus de 14 tonnes, le Global Hawk est actuellement le plus gros drone en exploitation aux Etats-unis.

Avec près de 40 m d’envergure et plus de 14 tonnes, le Global Hawk est actuellement le plus gros drone en exploitation aux Etats-unis.

Dès lors, ils parviennent à cartographier le réseau interne et tester tous les mots de passe triviaux sur les machines et équipements réseaux rencontrés. Arrivé à ce stade, les hackers revendiquent des accès sur des machines de 3 centres de la NASA : le Glenn Research Center, Goddard Space Flight Center et le Dryden Flight Research Center. C’est à Dryden que sont notamment basés les 2 drone Global Hawk qu’exploite l’agence spatiale américaine. Les hacker vont glaner des informations sur les multiples programmes de recherche, a priori rien de très confidentiel. Un fichier NASA_Aircrafts.txt rappelle la flotte d’avion dont dispose la NASA ; le Gulfstream III (C-20A) baptisé Armstrong, les  GlobalHawk#871 et GlobalHawk#872, les deux ER-2 #806 et #809 (la version civilisée du célèbre U-2), un  gros quadrimoteur P-3B Orion et enfin un DC-8.

250 Go de données collectées par les drones ont été téléchargées lors de l’attaque

Les hackers poursuivent alors leur infiltration du réseau de Dryden. 2 machines sous Linux Ubuntu qui n’avaient pas été révélées par leurs premiers scans vont attirer leur attention. Ils vont parvenir à en prendre le contrôle et sur l’une d’elles s’affichent les plans du réseau de vidéosurveillance du centre. Un système qu’ils jugent comme extrêmement vulnérable. L’autre machine est reliée à 3 unités de stockage de type Western Digital My Book World Edition. Des disques dur externes « grand public » qui servent à stocker les sauvegardes de l’ensemble des données collectées par les drones de la NASA. Les mots de passe par défaut ne fonctionnent pas, ce qui témoigne d’un soucis minimum de sécurité, par contre le firmware de ce NAS est affligé d’une faille que les hackers vont exploiter pour accéder aux données stockées. Données qu’ils vont bien évidemment piller en téléchargeant plus de 250 Go de fichiers.

L'itinéraire du vol finalement suivi par le Global Hawk.

L’itinéraire du vol finalement suivi par le Global Hawk. Le drone est rentré au bercail en dépit d’un plan de vol… sans retour. (Source : Anonsec)

Lors de l’analyse des fichiers de log des drones, les hackers en viennent à la conclusion qu’à l’issue de chaque vol toutes les données sont téléchargées au sol mais aussi qu’un fichier de type .gpx est chargé dans le drone. Leur conclusion est qu’il s’agit du plan de vol pour la mission suivante. Ils décident alors de créer un plan de vol qui doit précipiter le Global Hawk dans le Pacifique. Une tentative d’attaque de type MitM (Man in the Middle) qui heureusement  Les hackers estiment que le drone a bel et bien décollé avec son plan de vol fatal, mais que l’opérateur a dû comprendre que celui-ci posait problème. Il a modifié le plan de vol ou piloté le Global Hawk jusqu’à bon port.

Suite à cet événement, la NASA a-t-elle compris que son Global Hawk a fait l’objet d’une attaque ? Rien n’a filtré, par contre le réseau compromis par AnonSec est aujourd’hui fermé.

 

Source : Opération « OpNasaDrones », échange posté sur cryptobin, mot de passe « anonsec »

Commentaires Facebook
Twitter Facebook Plusone Pinterest Linkedin
Ce contenu a été publié dans Aéronautique, avec comme mot(s)-clé(s) , , . Vous pouvez le mettre en favoris avec ce permalien.