卫星真的会被黑,不信你瞧瞧

IoT 1个月前 admin
153 0 0

卫星真的会被黑,不信你瞧瞧

一、摘要

卫星对人们的日常生活至关重要,从导航到电视广播、电话和电力网络、天气预报、气候监测和军事通信。
空间系统在这些领域中都具有巨大的价值和重要性,并代表一个单点故障,这意味着如果它们所依赖的空间系统不能正常运行,许多服务就会崩溃。这些因素使它们成为不同群体的诱人目标,包括行业竞争对手、罪犯分子、恐怖组织、网络黑客、国家或军队。此外,空间资产的网络安全标准没有受到任何管理机构的监管,缺乏监管意味着卫星既缺乏共同的网络安全标准,也可能被用于不受惩罚/匿名的网络攻击。然而,卫星通信系统的网络安全问题在很大程度上被忽视了。迄今为止,很少有研究涉及保护卫星系统的不同脆弱性和安全挑战。
在公共领域,网络攻击空间系统的实际证据是有限的。到目前为止,只有少数公开披露的直接针对太空系统的网络攻击,甚至这些攻击的信息都是不完整的。比如基于卫星对卫星的攻击,目前没有公开的网络攻击的记录实例,但不影响讨论其技术可行性以及拟议的防御和弹性技术。

卫星真的会被黑,不信你瞧瞧

二、卫星攻击案例

案例1:家庭影院(HBO)卫星信号(1986)

1986年,一名被称为“午夜船长”的黑客干扰了家庭影院(HBO)卫星信号。起初,美国的卫星节目用户通过安装家庭天线免费接收HBO卫星传输的节目,25岁的约翰麦克杜格尔是做天线生意的,后来,运营商休斯公司开始要求HBO的用户每个月交12.5美元,这对约翰的生意成为一个摧毁性的打击。愤怒的约翰利用自己店门口的30英尺高的卫星天线打断了HBO的信号,在电视上播出了四分钟的图像:Good Evening, HBO. From Captain Midnight. $12.95 a month? No way!! 这一举动使午夜船长成为卫星黑客第一人,并为他赢得了来自FCC的5000美元罚款。

案例2:ROSAT卫星(1998)

以俄罗斯为基地的黑客于1998年9月20日控制了美国和德国的x射线科学卫星ROSAT,这是一个通过卫星地面站进行攻击的例子。在这个特殊的案例中,马里兰州NASA戈达德太空飞行中心的电脑在黑客命令卫星转向太阳之前就被入侵了。这有效地烧毁了卫星的电池和光学系统,使卫星失效。据报道,在攻击中获得的ROSAT数据被发送到莫斯科。


案例3 :Landsat 7(2007、2008)

2007年10月20日,美国国家航空航天局(NASA)和美国地质调查局(U.S. Geological Survey)共同管理的美国地球观测卫星Landsat 7受到了12分钟的干扰,这是对卫星C2链路的直接攻击。这次干扰是在2008年7月23日的一次类似事件之后才被发现的。这两起攻击都被认为是中国所为,然而在这两起攻击中,责任方都没有完成指挥和控制卫星的所有必要步骤。


案例4:Terra EOS AM-1 (2008)

美国宇航局地球观测卫星Terra EOS AM-1在20/06/2008经历了2分钟的干扰,22/10/2008经历了9分钟的干扰。在这两种情况下,责任方都取得了对卫星的指挥和控制,但没有发出任何命令。这些攻击再次被归咎于中国。虽然攻击最初似乎是通过位于斯瓦尔巴特群岛的康斯伯格卫星服务地面站进行的,但该设施的所有者没有看到任何证据,因此它可能是对卫星C2链路的直接攻击。


案例5:TinKode(2011)

2011年5月,网名为TinKode的罗马尼亚黑客在推特上宣布,他入侵了美国宇航局戈达德太空飞行中心的一台计算机服务器,并获得了机密卫星数据。他因此为自己赢得了两年的缓刑和12万美元的罚金。

案例6:美国天气预报的卫星服务受网络攻击影响(2014)

2014 年,因为网络攻击迫使美国国家海洋和大气管理局 (NOAA)切断了公众对用于天气预报的卫星网络图像数据的访问。美国官员将网络攻击归咎于中国,当时美国国家海洋和大气管理局(NOAA)的四个网站被入侵,工作人员发现了攻击,并立即做出了反应。美国家海洋和大气管理局表示,他们进行了临时维护,以减少攻击。该机构不愿透露具体是什么受到了攻击,是否有任何东西被删除,系统中是否有恶意软件被释放,以及攻击后的维护工作花了多长时间。


案例7:船舶受GPS欺骗(2017

根据美国海事局2017年的一份报告,至少有20艘船舶的GPS系统被欺骗,导致这些船舶在内陆32公里处到达黑海格连吉克机场,远离原来的目的地。这一事件引发了专家们的假设,即俄罗斯一直在试验新的GPS欺骗技术,作为其电子战能力的一部分。这是一种类型的攻击是“欺骗”——通过广播不正确的 GPS 信号来伪造信号,其结构类似于真正的信号。


案例8:地面控制网络被黑(2009

2009年4月-2011年4月期间,NASA 48部笔记本电脑和移动设备陆续被盗。其中2011年3月被盗的一个笔记本是未经加密的,包含了国际空间站的命令和控制代码。2012年2月NASA监察长在众议院听证会上作证,笔记本被盗导致了敏感数据泄露。
2014年7月,阿联酋称在向法国空客公司购买的鹰眼一号和鹰眼二号军事遥感卫星项目中,有几个采购于美国的部件中存在问题,将会为传送到地面站的高度机密的军事卫星数据提供后门,该事件被汇报给阿联酋军队最高指挥官,这笔史上最大遥感卫星订单差点夭折。
2015年一群长年隐匿在网络间的俄罗斯黑客组织被发现了端倪。他们黑进了老旧通信卫星,使用卫星通信,以隐藏黑客服务器的位置。这些老旧的卫星在天上已经运作了十几年,很多没有加密措施,并与世界各地有紧密的链接,黑客组织很容易的利用了这些漏洞拦截卫星与特定用户的通信,从而埋伏在遥测与控制系统中。他们只需要三项准备:1.在卫星覆盖区租个房子;2.拦截天线传输;3.互联网连接。

简单的描述其技术手段,分为三个步骤,截取流量,注入黑客代码,获取控制权。黑客在卫星数据下行时,黑掉地面站服务器,然后将黑掉的电脑的网络访问配置上黑客cc服务器地址,这样未来所有数据都会过黑客设定的服务器了。
一颗被黑的卫星可能会以多种方式受到损害。上文我们提到的仅仅是被免费用一下都是温柔的手段。黑客可以切换卫星的能力,命令其推进器工作以耗尽燃料或改变其轨道,也可以关闭加热器以损坏其电子设备,或故意干扰其他广播业务。这些情况中的任何一种都将对卫星造成致命伤害,并对经营人、保险公司和用户造成毁灭性影响。

黑客攻击卫星有可能得流程

卫星真的会被黑,不信你瞧瞧


地面VSAT系统易受攻击 

三、卫星的脆弱性

卫星通信系统有一系列的弱点,因为它们是由地面控制的,并向地面回传和从地面发送信息。因此,访问他们的网络通常比只有一个入口点的网络更加容易。

潜在的网络攻击存在三个关键的突破点:
  • 支撑天基资产的扩展陆基基础设施,包括地面站、终端、相关公司和终端用户;

  • 卫星本身;

  • 供应链;

供应链的复杂性使其成为一个关键的攻击入口点——卫星需要多个制造商和一个系统集成商将所有组件组装成一个整体。多个供应商就意味着可能为黑客提供了各种机会来访问。
军事卫星通常比民用卫星更不容易受到网络攻击,因为它们在网络安全方面付出了更大的努力,例如使用先进的加密方法,并确保地面站等物理基础设施得到良好保护。在过去,只有国家行为体有能力攻击天基资产,但随着网络技术的发展,攻击卫星系统的技术障碍正在不断地降低。使用相对便宜、容易获得和不复杂的硬件,侵入计算机系统并拦截通信是可能的。因此,就像支持关键基础设施的任何其他IT系统一样,目前天基系统必须采取最先进的监测和保护措施。

卫星真的会被黑,不信你瞧瞧

图1:空间系统的四个典型部分的网络威胁
实际上在卫星网络的漏洞特殊性方面,主要关注人为因素和供应链。毫无疑问,由于人为因素,网络漏洞存在并被利用。网络风险和网络安全更多地与键盘背后的人有关,而不是技术。人为因素,代表网络威胁行为者从事活动(有意或无意)的人。或者,疏忽(有意或无意)操作,例如修补、系统配置错误;所有这些因素都可能形成漏洞,威胁行为者可以利用这些漏洞。第二位的就是供应链漏洞,由于卫星和系统是由许多供应商制造的数千个零部件组成的,在软硬零部件的任何阶段都有可能出现有意或无意的漏洞或后门——这可能会导致对卫星系统的更高级别的访问。

四、攻击卫星通信系统的主要方式

针对空间资产的网络攻击与针对非空间系统的网络攻击类似。它们通常涉及试图向系统提供信息,导致软件以意想不到的方式运行,通常称为“bug”。在某些情况下,漏洞可以被利用来崩溃系统,运行未经授权的代码,和/或获得未经授权的访问。其他常见的网络攻击利用的是用户和命令缺乏或错误的认证。系统拥有的软件特性或组件越多,它处理的数据类型和通道越多,攻击者可以利用的潜在漏洞的攻击面就越大。

如前所述,潜在的卫星网络攻击存在三个关键的访问点:扩展的地面基础设施(地面站等)、卫星本身和供应链。下面讨论通过这些点的攻击模式。


1、通过地面站或其他地面基础设施进行攻击

卫星真的会被黑,不信你瞧瞧

地面站(或“跟踪站”)是用于与卫星通信的地面设施。它们提供向卫星(上行链路)发送数据和从卫星(下行链路)接收数据的能力,并通过地面连接网络(例如因特网)到控制中心,从那里向航天器发出命令,见图2。所有地面站使用的计算机都可能存在软件漏洞,可能被黑客利用。如果黑客能够侵入这些电脑,他们就能向卫星发送恶意命令。实现这一目标的简单方法如下:

黑客首先会使用开源的情报收集技术(谷歌,LinkedIn, Facebook等)来识别在地面站拥有特权系统访问权限的关键人员。然后,他会通过电子邮件和社交媒体,以鱼叉式网络钓鱼为目标,诱骗他们无意中进入他们的工作站,然后进入卫星控制系统。这些系统可以通过互联网来控制卫星或获取敏感数据。

对由人类操作的地面联网基础设施的攻击是通过网络手段进行攻击的最简单方式。

其他技术可能包括连接互联网或以太网电缆,以及搭载数据中继。使用这种方法进行攻击的例子包括卫星ROSAT,该卫星于1998年通过戈达德太空飞行中心的电脑遭到黑客攻击。

最近基于云的地面站和卫星服务的实施进一步增加了攻击者可以利用的漏洞的攻击面或范围。像亚马逊网络服务(AWS)和微软的Azure云服务这样的服务使得卫星运营商可以在自己家的舒适环境中管理卫星的特性和功能。然而,这些服务同样为有动机的对手使用动态云平台指挥攻击架起了桥梁。

除地面站外,负责处理空间数据的其他地面基础设施也容易受到攻击。2014年,黑客入侵了美国国家海洋和大气管理局(NOAA)的计算机网络,包括用于管理和传播卫星气象数据和产品的系统。虽然攻击本身没有破坏卫星数据,但美国国家海洋和大气管理局停止向国家气象局提供卫星图像,面向公众的服务在系统被清理期间被关闭了两天。


2、卫星/通信链路直接攻击

一些攻击可能会避开地面基础设施,并通过卫星的射频通信链路直接攻击卫星。这些连接代表了一个明显的弱点,也是所有卫星都共有的弱点。商业卫星上行和下行链路通常通过开放的(未加密的)电信网络安全协议传输,这些协议很容易被网络罪犯访问的。

对这些链接的攻击很可能是中间人(MITM),这是一个总称术语,攻击者将自己插入发送方和接收方之间,从而能够监视正在传递的信息(数据拦截),甚至可能修改它(数据损坏/修改)。数据是否容易被拦截在很大程度上取决于任务,因为有很多因素影响通信链路(轨道类型、发射机功率、波束宽度、加密等)。

例如,在地球同步轨道上的卫星有一个相对较大的下行波束宽度,导致更容易截获信号。如果数据没有经过加密,数据被截取可能会导致数据的保密性和数据隐私性的丧失。随着航天器向光通信方向发展,数据拦截将变得更加困难,但并非不可能。数据在传输到航天器或从航天器传输到航天器时也可能被攻击者破坏。如果在需要时没有采取行动或采取了错误的行动,这可能会导致服务中断或卫星失控。

也有可能——尽管通常非常困难,使用网络攻击攻击指挥和控制(C2)链接,以获得访问卫星总线或有效载荷。如果C2系统未加密或没有正确地验证命令,这种类型的攻击就会变得更容易。

据称的这类攻击事件包括Terra EOS AM-1卫星,攻击者在2008年获得了几分钟的控制。虽然攻击最初似乎是通过斯瓦尔巴地面站进行的,但设施的所有者没有看到任何证据,因此它可能是对卫星通信链路的直接攻击。


3、供应链(硬件+软件)漏洞

多个供应商需要提供组件、组装和集成卫星,为黑客提供各种访问点和机会来破坏硬件和/或软件。例如,NASA从世界各地的认可供应商的目录中购买组件。然而,这些供应商的审批过程并不一定包括网络安全审查标准,而是优先考虑物理质量控制。这种缺乏洞察力的作法带来了相当大的网络安全风险。除了供应链的脆弱性,空间组织通常与几个研究中心合作,这些研究中心可能有自己的脆弱性,因此跨多个合作伙伴的合作可能会加剧潜在的安全问题。如图3所示,空间资产的开发、管理、使用和所有权环境的独特复杂性,使得此类系统的综合网络安全尤其具有挑战性。

特别是,越来越多地使用国外生产的有缺陷或假冒微电子器件和材料,对全球供应链安全构成了风险。

在硬件或软件产品中故意安装隐藏的后门是这一领域的另一个主要威胁。这种网络间谍行动可以针对卫星制造商、零部件供应商、软件经纪人、发射服务提供商和电信公司。

对这些目标的物理渗透、社会工程和网络漏洞利用可以提供对给定卫星的设计原理图、物理组件和软件包的访问。  

卫星真的会被黑,不信你瞧瞧

如图3所示,A公司可以委托B公司开发卫星,然后由B公司承担卫星的网络安全责任。然后,B公司将卫星开发的组件外包给C、D和E公司,这些公司拥有自己的卫星网络安全责任组件。当B公司完成卫星的开发并将其交付给所有者(A公司)时,则由F公司管理卫星的运营(F公司随后承担卫星的运营网络安全责任)。F公司随后委托G公司将卫星送入太空。
G公司在发射过程中承担网络安全责任。这种网络安全责任的责任通常转移到保险公司H。一旦卫星进入轨道并运行,管理公司(F)就会恢复对卫星运行的网络安全责任。通常情况下,卫星所有者(A公司)希望最大化卫星的效用,以提高盈利能力,因此会将卫星上的带宽或处理功能租给I、J、K等其他公司。由于所有者、开发商、运营商和用户网络安全责任的复杂生态系统,对手有很多机会获得卫星访问权。
该责任生命周期不包括卫星运行寿命期间的网络保险角色,该卫星尚未成为空间资产网络安全的主要参与者。

4、其他攻击模式

除了上面讨论的那些,还有其他的攻击模式,其中一些才刚刚开始出现。
针对空间系统用户部分的网络攻击(见图1)可能涉及用于接收卫星信号的终端或设备。在许多情况下,这些攻击与针对其他类型计算机设备的网络攻击非常相似,重点是利用设备中的硬件或软件漏洞。这方面的例子包括修改民用GPS信号的数据内容和重新广播这些信号的技术。当商业GPS接收器试图解码这些恶意GPS信号时,它们可能会反复崩溃,实际上遭到了拒绝服务攻击。
另一类涉及利用卫星链接为黑客攻击其他目标提供便利。这种技术可能会劫持基于卫星的合法互联网用户的IP地址,使黑客得以进入私人网络,并隐藏其命令服务器的位置。
卫星对卫星的网络攻击,即从一颗卫星对另一颗卫星发起攻击,目前还没有公开的文件记录,但此类攻击的技术可行性已被研究,预计它们将在未来十年成为一种威胁。这些攻击将以受害者卫星近距离或视线范围内的传感器和子系统为目标。因此,进攻性卫星将需要特殊用途的传感器和执行器,而这些传感器和执行器通常不会安装在卫星上。这些执行器需要通过地面站(可能驻留在云上)或使用星载决策算法来控制。
从历史上看,空间系统的基本问题是,它们在设计时假设在边界有保护就足够了。如果突破了边界,内部保护几乎不存在。当前和未来的空间系统设计必须克服对手突破边界的风险,并使用深度防御(DID)原则在系统内部不受阻碍地操作。无论是大型的传统既有系统,还是更现代的快速发展的空间系统(即新空间),都应该确保它们具有网络加固设计,并实现这些原则。
对于一个空间系统来说,DID战略依赖于多层安全来保护任务关键资产。该方法包括采购、安全供应链、空间系统加固和监控、安全软件开发、入侵检测和预防、文化、人员等,以创建多层的安全控制。再次回顾图1并应用DID策略,需要在用户段、地面段、链路段和空间段应用安全控制,以确保整个系统具有健壮的安全架构。如何构建卫星通信网络的安全防御能力?至少有几个方面的努力是可以尝试的。比如在空间部分应用防御机制,专注于加密和认证、星载入侵检测和预防、网络弹性测试、供应链风险管理和星载日志。

五、卫星网络安全防御能力构建


1、加密与认证

对航天器发送和接收的数据进行加密,可能被视为空间系统内部的第一道防线,允许只有使用加密密钥的其他人才能看到的私人通信。当数据被拦截、拒绝服务式攻击和未授权访问空间系统时,加密可以有效防止机密性的损失。对上行命令的星载认证可以帮助识别恶意干扰,避免卫星失去控制。具体来说,对C2链路进行加密对于确保卫星的指挥和控制以及避免成功攻击的潜在后果至关重要。

尽管所有军用卫星都使用某种形式的加密,但目前尚不清楚有多少公共和私人卫星使用这种安全技术。空间资产社区经常应用开发人员确定的“相关”安全技术,这产生了各种加密实践。一些卫星正在使用NIST(美国国家标准与技术研究所)最新的高级加密标准(AES),而另一些卫星则推出了自己的加密标准。一个使用非AES的卫星的例子是中国的一颗卫星,它使用量子密钥分配(QKD)进行加密通信。QKD是一种利用亚原子粒子的特殊量子行为(称为“纠缠”)发送加密密钥的方法,至少在理论上是完全不可破解的。包括英国公司ArQit在内的几家西方公司也在研究下一代加密技术。它的发展被认为是必要的,以解决当前加密技术的弱点,面对快速增长的计算能力。虽然这种复杂的加密技术对许多太空资产来说是不必要的,但很明显,这种先进的安全技术确实可以用于卫星。

2、星载入侵检测与防御

航天器的支柱应该是一个健壮的入侵检测系统(IDS)。IDS应该包括对遥测、命令序列、命令接收状态、共享总线流量、飞行软件配置和运行状态的连续监控。从遥测监测的角度来看,存在的几个参数具有指示对航天器的网络攻击的最高可能性,应该在地面和航天器上使用IDS进行积极监测。

对检测到的事件的响应可能因威胁的性质而异。违反不严格的规则或越过较低的评分阈值将触发遥测系统向地面操作员发出警报,警告内容包括违规行为、造成违规的原始数据和建议的行动方案。如果发生严重违反规则或越过更高阈值,航天器的入侵防御系统(IPS)将采取自动行动,可能包括切换到冗余侧,隔离命令序列,重新加载飞行软件,和/或停止可疑单元。

IPS系统应该集成到现有的机载航天器故障检测隔离和恢复系统(FDIR)中,因为FDIR内置了自己的故障检测和响应系统。集成这两个系统可以确保它们不会采取冲突的行动。

最后,航天器IPS和地面应该保留将航天器上的关键系统恢复到已知的网络安全模式的能力。这是一种操作模式,在此模式下,所有非必要系统都将关闭,航天器将使用经过验证的软件和配置设置置于已知良好状态。默认的网络安全模式软件应该存储在基于硬件控制的航天器内存中,并且不能被修改。

3、网络攻击弹性测试

航天器(尤其是它们的软件)需要从一开始就为适当的安全级别设计,并在发射前对系统进行网络弹性检查——而不是一旦进入轨道,就没有合理的恢复选择。

网络攻击弹性测试是实现这一目标的一种新方法,通过它,开发人员可以在现实环境中精确复制他们的航天器、地面站和通信网络,从而使他们能够经受恶意的网络攻击,并由网络专家评估其脆弱性。ManTech公司在2020年推出了一项名为Space Range的服务。它的测试人员能够找到隐藏的漏洞、错误配置和软件bug;让开发者有机会在系统启动和投入运行前加强系统,以抵御网络攻击。2019年,欧洲航天局(ESA)在比利时ESEC建立了一个网络训练场,计划成为欧洲网络安全服务参考中心。该系列为其员工和合作伙伴提供培训和测试,旨在开发意识、检测、调查、响应和取证方面的知识,以反击特定于空间系统的网络攻击。

虽然并非所有航天器开发人员都可以使用专门的网络安全范围,但如果在设计阶段考虑到空间系统对常见形式的网络攻击的弹性,这可以作为一种有效的预防措施,导致系统一旦运行,就会更加加强网络安全。

4、供应链风险管理

航天器开发人员实施供应链风险管理计划至关重要。他们必须确保他们的每个供应商适当地处理硬件和软件,并有一个商定的托管链。关键单元和子系统应该用不同于非关键单元和子系统的严格程度和要求来标识和处理。零件应该从有信誉的供应商采购,并检查假冒的迹象。

航天器上的所有软件都应该通过配置管理和安全软件开发流程进行彻底的审查和适当的处理。这可以包括使用安全编码标准或原则,以帮助减少非预期的弱点。软件经常利用第三方代码,这可能会给系统带来漏洞。主要的集成商必须对通过使用第三方代码而引入的所有安全缺陷负责。至少,这意味着通过可信的方法获取代码,并更新到修复安全漏洞的新版本,理想情况下包括扫描和测试第三方软件的安全漏洞。

5、星载日志系统

日志记录是在一段时间内收集和存储数据的过程,以便分析系统的事件/动作。例如,命令接收器的输入参数可能用于异常调查。该技术能够跟踪数据、文件或软件存储、访问或修改的所有交互。因此,任何入侵企图或其他网络攻击的迹象都将被记录下来,以供进一步调查。

航天器和地面都应独立执行命令记录和命令序列异常检测以进行交叉验证。接收到的命令可以通过遥测技术存储并发送到地面,并自动检查发送和接收的命令是否一致。

专家称俄乌军事冲突正在给商用空间系统一个“互联网时刻”。即卫星让世界前所未有地瞥见了这场残酷的战争,地理空间情报现在正迎来互联网时代,俄乌冲突后很长一段时间内商业太空行业预计迎来高速发展。战争爆发时,政府从Maxar、BlackSky和Planet等公司购买的乌克兰商业近地轨道图像增加了一倍多,这些图像很快与美国欧洲司令部、北约和乌克兰的官员分享。随着能力的提高和成本的下降,对商业情报和监视的需求将继续飙升。国防和商业部门对数据有着持续不断的刚性需求。也有专家将将商业卫星在乌克兰上空的使用比作二战工业革命期间大规模生产的兴起,或第一次海湾战争期间GPS技术的首次主要军事用途。同样,Viasat网络事件也暴露出卫星通信系统的诸多隐患,该行业的网络安全也应列入优先重大发展事项。


参考文件

1、 微信号“cyberspacechat” 网空闲话  2022-04-01 被忽视的卫星通信系统网络安全-史上经典的卫星网络攻击案例

2、“cyberspacechat” 网空闲话 Viasat卫星通信网络攻击案例警示:黑客会如何攻击脆弱的卫星网络?


原文始发于微信公众号(无线通信安全):卫星真的会被黑,不信你瞧瞧

版权声明:admin 发表于 2022年6月25日 上午9:23。
转载请注明:卫星真的会被黑,不信你瞧瞧 | CTF导航

相关文章

暂无评论

暂无评论...