針對國際太空計劃的破壞性網絡攻擊和數字間諜活動呈現令人擔憂的增長趨勢。在過去五年中,國際太空計劃和衛星關鍵基礎設施遭受的一系列重大網絡攻擊已經成為太空網絡安全态勢的轉折點。
近年來,太空數字關鍵基礎設施的軍民融合趨勢正在提速。例如SpaceX、BlueOrigin和波音公司的成功發射,SpaceX通過Starlink為烏克蘭提供關鍵通信基礎設施,以及太空部隊和太空ISAC的建立。太空網絡安全威脅也随着地緣政治緊張局勢而更新,俄羅斯已經宣布将退出國際空間站(ISS)。
最早的太空網絡安全事件報道可追溯到2008年,在國際空間站從Windows XP切換到Linux之前,據西方媒體報道,俄羅斯宇航員将一個受感染的USB裝置引入了空間站上的計算機,導緻國際空間站上的宇航員使用的基于Windows XP的筆記本電腦感染了一種名為W32.Gammima.AG,一種竊取密碼的計算機病毒。美國國家航空航天局(NASA)官員當時将這種病毒描述為“令人讨厭的東西”。補充說它“不是經常發生,但這不是第一次”。
最近,威脅情報機構BushidoToken盤點了航天工業近年來遭遇的五個重大太空網絡安全事件,具體如下:
一、太空數字間諜活動:衛星劫持
衛星通信(SATCOM)可以提供電視廣播和遠端通路網際網路。然而,這種基于衛星的網際網路通路被稱為下行鍊路。
2015年9月,卡巴斯基實驗室披露了一個名為Turla的俄羅斯進階持續威脅(APT)組織(又名Snake或VenomousBear)利用了這些衛星網際網路連接配接的弱點。
Turla将監視下行鍊路,識别活動IP位址,在入侵期間選擇一個作為源IP位址,并通過在發送到衛星和從衛星發送的資料包中隐藏惡意代碼來劫持它。被Turla入侵的系統還會将資料洩露到正常衛星網際網路使用者的IP位址。
Turla使用這種特殊技術針對中東和非洲的政府、大使館、軍事實體、教育機構、研究組織和制藥公司的系統。Estionian情報部門将Turla的業務與俄羅斯聯邦安全局(FSB)聯系在一起。2022年2月,德國調查記者披露了兩名Turla開發商的身份以及他們與俄羅斯FSB的關系。
Turla的衛星劫持攻擊示意圖
二、NASA成為SolarWinds供應鍊攻擊的受害者
2020年12月,與Nobelium APT組織(又名APT29、CozyBear或DarkHalo)相關的SolarWinds供應鍊攻擊内幕被披露。它涉及SolarWinds Orion平台的惡意軟體更新,已被超過1.8萬名SolarWinds客戶下載下傳。Nobelium設法入侵了SolarWinds軟體建構環境,并使用名為SUNSPOT的軟體來加載SUNBURSTOrion軟體更新後門。
據報道,入侵始于2019年9月,并于2019年10月首次嘗試添加測試代碼并将其推送給SolarWinds客戶。為了使其更難被發現,SUNBURST的代碼是使用從Orion平台竊取的證書進行簽名,并且它的命名約定與Orion的代碼相同,是以SolarWinds開發人員會将其誤認為是他們自己的。安裝後,SUNBURST将休眠12-14天,然後通過DNS聯系C&C伺服器。SUNBURST的流量還使用Orion改進計劃協定(OIP)來混入合法的SolarWinds活動。然後,Nobelium會使用SUNBURST部署其他惡意軟體,例如TEARDROP、RAINDROP和其他一些惡意軟體。
根據美國國家安全局(NSA)的聲明,大約100個非政府實體收到了後續活動,其中包括幾個美國聯邦政府機構和NASA。2021年1月,美國國家情報總監辦公室(ODNI)正式發表聲明稱這次攻擊是由俄羅斯外國情報局(SVR)策劃的。
分析:
- 盡管太空探索和研究涉及國際太空機構之間的大量合作,但一些情報機構在這些協定之外運作并無視這些協定。
- Turla和Nobelium都屬于進階持續性威脅,但并未竊取知識産權資訊。
- 此類活動本質上是傳統間諜活動的網絡版本,将始終發生在民族國家的競争對手之間。很難将這些類型的入侵稱為“攻擊”,因為沒有破壞性元件。然而,在這些網絡間諜活動中收集的資訊可能會支援未來的破壞性進攻行動。
三、威脅太空的破壞性網絡攻擊:“garminwasted”
降低IT系統和網絡性能的網絡攻擊更有可能來自網絡犯罪威脅團體,而不是民族國家的APT組織。2020年7月下旬,美國宇航局的Ingenuity Mars直升機使用的導航裝置和智能裝置的主要制造商Garmin遭到WasedLocker勒索軟體的攻擊。Garmin的雲服務,包括飛行員使用的裝置同步和地理定位儀器一度無法使用。
Garmin在其官方聲明中證明遭受網絡攻擊,導緻線上服務中斷,一些内部系統被加密。Garmin報告說,沒有證據表明任何人在事件期間未經授權通路了使用者資料。一位熟悉該事件的匿名Garmin員工透露,勒索贖金要求為1000萬美元。在全球服務中斷四天後,Garmin突然宣布他們已向網絡犯罪分子支付贖金以獲得解密器後開始恢複服務。
值得注意的是,WastedLocker由于與eCrime威脅組織開發的其他勒索軟體系列DoppelPaymer和BitPaymer的相似性而被歸因于EvilCorp。2019年12月,EvilCorp被列入造成1億美元經濟損失的美國OFAC制裁名單。是以,向EvilCorp支付贖金可能會導緻Garmin被美國政府處以巨額罰款。
Garmin服務中斷通知和WasedLocker贖金記錄
四、首次大規模衛星通信攻擊
太空領域最具破壞性的網絡攻擊之一是在俄羅斯入侵烏克蘭當晚針對歐洲衛星通信網絡發動的攻擊。美國和歐盟聲稱,2022年2月24日,俄羅斯對屬于Viasat的名為KA-SAT的商業衛星通信網絡發起了網絡攻擊。網絡攻擊旨在破壞烏克蘭的指揮和控制行動,并對包括德國、希臘、波蘭、意大利和匈牙利在内的其他歐洲國家造成重大溢出影響。直到一個月後,歐洲衛星寬帶服務才從事件中恢複。
據Viasat稱,數以萬計的SATCOM數據機被毀壞,不得不更換。據報道,攻擊者能夠通過利用“配置錯誤的VPN”獲得通路權限,并橫向移動到KA-SAT網絡的管理部分。随後,攻擊者執行指令來清除數據機的記憶體,使它們無法使用。
有趣的是,來自網絡安全供應商SentinelOne的研究人員發現了一種名為AcidRain的擦除惡意軟體,該惡意軟體專為SATCOM數據機使用的MIPS固件而設計,可能用于KA-SAT攻擊。
SentinelOne研究人員認為,AcidRain是由與VPNFilter相同的惡意軟體作者開發的,VPNFilter被正式歸因于俄羅斯主要情報局(GRU),更具體地說是GTsST Unit 74455,即著名的沙蟲團隊。
受攻擊的KA-SAT數據機的對比分析
五、俄羅斯太空機構遭到黑客攻擊
對航天工業發起破壞性網絡攻擊并不限于國家資助的APT團體和有組織的網絡犯罪分子。2022年3月,一個名為Network Battalion 65(又名NB65)的親烏克蘭黑客組織通過Twitter分享說,它對俄羅斯航天局Roscosmos發起了攻擊。
Roscosmos總幹事德米特裡·羅戈津(Dmitry Rogozin)後來在推特上表示NB65的說法“不真實”,并稱他們為“小騙子”。不過,NB65分享的截圖據稱屬于俄羅斯衛星成像軟體和車輛監控系統。Roscosmos事件最終被俄官方否認,NB65也未能提供足夠有效證據。
同樣在3月,一個據稱與黑客組織Anonymous有關的推特帳戶透露另一個名為v0g3lSec的黑客組織破壞了一個屬于俄羅斯空間研究所(IKI)的網站,并洩露了據稱屬于俄羅斯航天局Roscosmos的檔案。其中一份被盜檔案讨論了月球南極潛在着陸點的位置。這與俄羅斯當局已經宣布的南極地點相吻合,這可能會增加這些檔案被成功竊取的可信度。
NB65和v0g3lSec攻擊俄羅斯航天局
分析:
雖然不常見,但純粹的破壞性網絡攻擊往往是最令人恐懼的。資料丢失和對系統的非法通路可能會造成數百萬美元的損失,并使營運延遲數月或數年。最具破壞性的攻擊通常會使用資料加密勒索軟體或資料破壞擦除器。
沙蟲團隊實施的進攻性網絡行動是世界上最危險的行動之一。它是少數成功發起多次網絡攻擊的APT組織之一,這些攻擊具有破壞性影響,主要針對烏克蘭。
總結:太空網絡安全形勢嚴峻
針對太空組織和衛星網絡的攻擊技術往往是最先進的,但最危險的對手也許不是民族國家和網絡犯罪威脅團體,而是黑客活動團體上。與通常試圖秘密擷取和維持通路權限的國家黑客或希望将通路權限貨币化的網絡犯罪分子不同,黑客活動主義者往往試圖通過破壞網站、通過DDoS攻擊關閉網站或洩露資料的方式來羞辱對手,支援其活動主張。
航天工業的威脅模型與許多其他垂直行業大不相同。攻擊面涉及許多先進技術,例如衛星通信網絡。現代航空供應商往往無力保護這些技術,需要定制安全解決方案。例如,物聯網(IoT)裝置的端點安全性目前遠不及現代工作站的水準,這使得航天産業對進階持續威脅的準備嚴重不足。