一、摘要
案例1:家庭影院(HBO)卫星信号(1986)
案例2:ROSAT卫星(1998)
以俄罗斯为基地的黑客于1998年9月20日控制了美国和德国的x射线科学卫星ROSAT,这是一个通过卫星地面站进行攻击的例子。在这个特殊的案例中,马里兰州NASA戈达德太空飞行中心的电脑在黑客命令卫星转向太阳之前就被入侵了。这有效地烧毁了卫星的电池和光学系统,使卫星失效。据报道,在攻击中获得的ROSAT数据被发送到莫斯科。
案例3 :Landsat 7(2007、2008)
2007年10月20日,美国国家航空航天局(NASA)和美国地质调查局(U.S. Geological Survey)共同管理的美国地球观测卫星Landsat 7受到了12分钟的干扰,这是对卫星C2链路的直接攻击。这次干扰是在2008年7月23日的一次类似事件之后才被发现的。这两起攻击都被认为是中国所为,然而在这两起攻击中,责任方都没有完成指挥和控制卫星的所有必要步骤。
案例4:Terra EOS AM-1 (2008)
美国宇航局地球观测卫星Terra EOS AM-1在20/06/2008经历了2分钟的干扰,22/10/2008经历了9分钟的干扰。在这两种情况下,责任方都取得了对卫星的指挥和控制,但没有发出任何命令。这些攻击再次被归咎于中国。虽然攻击最初似乎是通过位于斯瓦尔巴特群岛的康斯伯格卫星服务地面站进行的,但该设施的所有者没有看到任何证据,因此它可能是对卫星C2链路的直接攻击。
案例5:TinKode(2011)
案例6:美国天气预报的卫星服务受网络攻击影响(2014)
2014 年,因为网络攻击迫使美国国家海洋和大气管理局 (NOAA)切断了公众对用于天气预报的卫星网络图像数据的访问。美国官员将网络攻击归咎于中国,当时美国国家海洋和大气管理局(NOAA)的四个网站被入侵,工作人员发现了攻击,并立即做出了反应。美国家海洋和大气管理局表示,他们进行了临时维护,以减少攻击。该机构不愿透露具体是什么受到了攻击,是否有任何东西被删除,系统中是否有恶意软件被释放,以及攻击后的维护工作花了多长时间。
案例7:船舶受GPS欺骗(2017)
根据美国海事局2017年的一份报告,至少有20艘船舶的GPS系统被欺骗,导致这些船舶在内陆32公里处到达黑海格连吉克机场,远离原来的目的地。这一事件引发了专家们的假设,即俄罗斯一直在试验新的GPS欺骗技术,作为其电子战能力的一部分。这是一种类型的攻击是“欺骗”——通过广播不正确的 GPS 信号来伪造信号,其结构类似于真正的信号。
案例8:地面控制网络被黑(2009)
三、卫星的脆弱性
-
支撑天基资产的扩展陆基基础设施,包括地面站、终端、相关公司和终端用户;
-
卫星本身;
-
供应链;
四、攻击卫星通信系统的主要方式
如前所述,潜在的卫星网络攻击存在三个关键的访问点:扩展的地面基础设施(地面站等)、卫星本身和供应链。下面讨论通过这些点的攻击模式。
1、通过地面站或其他地面基础设施进行攻击
地面站(或“跟踪站”)是用于与卫星通信的地面设施。它们提供向卫星(上行链路)发送数据和从卫星(下行链路)接收数据的能力,并通过地面连接网络(例如因特网)到控制中心,从那里向航天器发出命令,见图2。所有地面站使用的计算机都可能存在软件漏洞,可能被黑客利用。如果黑客能够侵入这些电脑,他们就能向卫星发送恶意命令。实现这一目标的简单方法如下:
黑客首先会使用开源的情报收集技术(谷歌,LinkedIn, Facebook等)来识别在地面站拥有特权系统访问权限的关键人员。然后,他会通过电子邮件和社交媒体,以鱼叉式网络钓鱼为目标,诱骗他们无意中进入他们的工作站,然后进入卫星控制系统。这些系统可以通过互联网来控制卫星或获取敏感数据。
对由人类操作的地面联网基础设施的攻击是通过网络手段进行攻击的最简单方式。
其他技术可能包括连接互联网或以太网电缆,以及搭载数据中继。使用这种方法进行攻击的例子包括卫星ROSAT,该卫星于1998年通过戈达德太空飞行中心的电脑遭到黑客攻击。
最近基于云的地面站和卫星服务的实施进一步增加了攻击者可以利用的漏洞的攻击面或范围。像亚马逊网络服务(AWS)和微软的Azure云服务这样的服务使得卫星运营商可以在自己家的舒适环境中管理卫星的特性和功能。然而,这些服务同样为有动机的对手使用动态云平台指挥攻击架起了桥梁。
除地面站外,负责处理空间数据的其他地面基础设施也容易受到攻击。2014年,黑客入侵了美国国家海洋和大气管理局(NOAA)的计算机网络,包括用于管理和传播卫星气象数据和产品的系统。虽然攻击本身没有破坏卫星数据,但美国国家海洋和大气管理局停止向国家气象局提供卫星图像,面向公众的服务在系统被清理期间被关闭了两天。
一些攻击可能会避开地面基础设施,并通过卫星的射频通信链路直接攻击卫星。这些连接代表了一个明显的弱点,也是所有卫星都共有的弱点。商业卫星上行和下行链路通常通过开放的(未加密的)电信网络安全协议传输,这些协议很容易被网络罪犯访问的。
对这些链接的攻击很可能是中间人(MITM),这是一个总称术语,攻击者将自己插入发送方和接收方之间,从而能够监视正在传递的信息(数据拦截),甚至可能修改它(数据损坏/修改)。数据是否容易被拦截在很大程度上取决于任务,因为有很多因素影响通信链路(轨道类型、发射机功率、波束宽度、加密等)。
例如,在地球同步轨道上的卫星有一个相对较大的下行波束宽度,导致更容易截获信号。如果数据没有经过加密,数据被截取可能会导致数据的保密性和数据隐私性的丧失。随着航天器向光通信方向发展,数据拦截将变得更加困难,但并非不可能。数据在传输到航天器或从航天器传输到航天器时也可能被攻击者破坏。如果在需要时没有采取行动或采取了错误的行动,这可能会导致服务中断或卫星失控。
也有可能——尽管通常非常困难,使用网络攻击攻击指挥和控制(C2)链接,以获得访问卫星总线或有效载荷。如果C2系统未加密或没有正确地验证命令,这种类型的攻击就会变得更容易。
据称的这类攻击事件包括Terra EOS AM-1卫星,攻击者在2008年获得了几分钟的控制。虽然攻击最初似乎是通过斯瓦尔巴地面站进行的,但设施的所有者没有看到任何证据,因此它可能是对卫星通信链路的直接攻击。
3、供应链(硬件+软件)漏洞
多个供应商需要提供组件、组装和集成卫星,为黑客提供各种访问点和机会来破坏硬件和/或软件。例如,NASA从世界各地的认可供应商的目录中购买组件。然而,这些供应商的审批过程并不一定包括网络安全审查标准,而是优先考虑物理质量控制。这种缺乏洞察力的作法带来了相当大的网络安全风险。除了供应链的脆弱性,空间组织通常与几个研究中心合作,这些研究中心可能有自己的脆弱性,因此跨多个合作伙伴的合作可能会加剧潜在的安全问题。如图3所示,空间资产的开发、管理、使用和所有权环境的独特复杂性,使得此类系统的综合网络安全尤其具有挑战性。
特别是,越来越多地使用国外生产的有缺陷或假冒微电子器件和材料,对全球供应链安全构成了风险。
在硬件或软件产品中故意安装隐藏的后门是这一领域的另一个主要威胁。这种网络间谍行动可以针对卫星制造商、零部件供应商、软件经纪人、发射服务提供商和电信公司。
对这些目标的物理渗透、社会工程和网络漏洞利用可以提供对给定卫星的设计原理图、物理组件和软件包的访问。
4、其他攻击模式
对航天器发送和接收的数据进行加密,可能被视为空间系统内部的第一道防线,允许只有使用加密密钥的其他人才能看到的私人通信。当数据被拦截、拒绝服务式攻击和未授权访问空间系统时,加密可以有效防止机密性的损失。对上行命令的星载认证可以帮助识别恶意干扰,避免卫星失去控制。具体来说,对C2链路进行加密对于确保卫星的指挥和控制以及避免成功攻击的潜在后果至关重要。
尽管所有军用卫星都使用某种形式的加密,但目前尚不清楚有多少公共和私人卫星使用这种安全技术。空间资产社区经常应用开发人员确定的“相关”安全技术,这产生了各种加密实践。一些卫星正在使用NIST(美国国家标准与技术研究所)最新的高级加密标准(AES),而另一些卫星则推出了自己的加密标准。一个使用非AES的卫星的例子是中国的一颗卫星,它使用量子密钥分配(QKD)进行加密通信。QKD是一种利用亚原子粒子的特殊量子行为(称为“纠缠”)发送加密密钥的方法,至少在理论上是完全不可破解的。包括英国公司ArQit在内的几家西方公司也在研究下一代加密技术。它的发展被认为是必要的,以解决当前加密技术的弱点,面对快速增长的计算能力。虽然这种复杂的加密技术对许多太空资产来说是不必要的,但很明显,这种先进的安全技术确实可以用于卫星。
2、星载入侵检测与防御
航天器的支柱应该是一个健壮的入侵检测系统(IDS)。IDS应该包括对遥测、命令序列、命令接收状态、共享总线流量、飞行软件配置和运行状态的连续监控。从遥测监测的角度来看,存在的几个参数具有指示对航天器的网络攻击的最高可能性,应该在地面和航天器上使用IDS进行积极监测。
对检测到的事件的响应可能因威胁的性质而异。违反不严格的规则或越过较低的评分阈值将触发遥测系统向地面操作员发出警报,警告内容包括违规行为、造成违规的原始数据和建议的行动方案。如果发生严重违反规则或越过更高阈值,航天器的入侵防御系统(IPS)将采取自动行动,可能包括切换到冗余侧,隔离命令序列,重新加载飞行软件,和/或停止可疑单元。
IPS系统应该集成到现有的机载航天器故障检测隔离和恢复系统(FDIR)中,因为FDIR内置了自己的故障检测和响应系统。集成这两个系统可以确保它们不会采取冲突的行动。
最后,航天器IPS和地面应该保留将航天器上的关键系统恢复到已知的网络安全模式的能力。这是一种操作模式,在此模式下,所有非必要系统都将关闭,航天器将使用经过验证的软件和配置设置置于已知良好状态。默认的网络安全模式软件应该存储在基于硬件控制的航天器内存中,并且不能被修改。
3、网络攻击弹性测试
航天器(尤其是它们的软件)需要从一开始就为适当的安全级别设计,并在发射前对系统进行网络弹性检查——而不是一旦进入轨道,就没有合理的恢复选择。
网络攻击弹性测试是实现这一目标的一种新方法,通过它,开发人员可以在现实环境中精确复制他们的航天器、地面站和通信网络,从而使他们能够经受恶意的网络攻击,并由网络专家评估其脆弱性。ManTech公司在2020年推出了一项名为Space Range的服务。它的测试人员能够找到隐藏的漏洞、错误配置和软件bug;让开发者有机会在系统启动和投入运行前加强系统,以抵御网络攻击。2019年,欧洲航天局(ESA)在比利时ESEC建立了一个网络训练场,计划成为欧洲网络安全服务参考中心。该系列为其员工和合作伙伴提供培训和测试,旨在开发意识、检测、调查、响应和取证方面的知识,以反击特定于空间系统的网络攻击。
虽然并非所有航天器开发人员都可以使用专门的网络安全范围,但如果在设计阶段考虑到空间系统对常见形式的网络攻击的弹性,这可以作为一种有效的预防措施,导致系统一旦运行,就会更加加强网络安全。
4、供应链风险管理
航天器开发人员实施供应链风险管理计划至关重要。他们必须确保他们的每个供应商适当地处理硬件和软件,并有一个商定的托管链。关键单元和子系统应该用不同于非关键单元和子系统的严格程度和要求来标识和处理。零件应该从有信誉的供应商采购,并检查假冒的迹象。
航天器上的所有软件都应该通过配置管理和安全软件开发流程进行彻底的审查和适当的处理。这可以包括使用安全编码标准或原则,以帮助减少非预期的弱点。软件经常利用第三方代码,这可能会给系统带来漏洞。主要的集成商必须对通过使用第三方代码而引入的所有安全缺陷负责。至少,这意味着通过可信的方法获取代码,并更新到修复安全漏洞的新版本,理想情况下包括扫描和测试第三方软件的安全漏洞。
5、星载日志系统
日志记录是在一段时间内收集和存储数据的过程,以便分析系统的事件/动作。例如,命令接收器的输入参数可能用于异常调查。该技术能够跟踪数据、文件或软件存储、访问或修改的所有交互。因此,任何入侵企图或其他网络攻击的迹象都将被记录下来,以供进一步调查。
航天器和地面都应独立执行命令记录和命令序列异常检测以进行交叉验证。接收到的命令可以通过遥测技术存储并发送到地面,并自动检查发送和接收的命令是否一致。
专家称俄乌军事冲突正在给商用空间系统一个“互联网时刻”。即卫星让世界前所未有地瞥见了这场残酷的战争,地理空间情报现在正迎来互联网时代,俄乌冲突后很长一段时间内商业太空行业预计迎来高速发展。战争爆发时,政府从Maxar、BlackSky和Planet等公司购买的乌克兰商业近地轨道图像增加了一倍多,这些图像很快与美国欧洲司令部、北约和乌克兰的官员分享。随着能力的提高和成本的下降,对商业情报和监视的需求将继续飙升。国防和商业部门对数据有着持续不断的刚性需求。也有专家将将商业卫星在乌克兰上空的使用比作二战工业革命期间大规模生产的兴起,或第一次海湾战争期间GPS技术的首次主要军事用途。同样,Viasat网络事件也暴露出卫星通信系统的诸多隐患,该行业的网络安全也应列入优先重大发展事项。
参考文件
1、 微信号“cyberspacechat” 网空闲话 2022-04-01 被忽视的卫星通信系统网络安全-史上经典的卫星网络攻击案例
2、微信号“cyberspacechat” 网空闲话 Viasat卫星通信网络攻击案例警示:黑客会如何攻击脆弱的卫星网络?
原文始发于微信公众号(无线通信安全):卫星真的会被黑,不信你瞧瞧
