美政府安全專家：俄羅斯黑客已在美國衛星網絡駐留數月

CISA安全專家稱，Fancy Bear團伙通過VPN設備的未修補漏洞進入網絡，并在內部橫向移動，似乎已經在受害者網絡中駐留數月之久。

12月20日消息，美國網絡安全與基礎設施安全局（CISA）的研究人員最近發現，有可疑的俄羅斯黑客正潛伏在美國衛星網絡中。對于正在迅速擴張的美太空經濟而言，此次發現無疑引發了人們對于俄方實施滲透和破壞的擔憂。

雖然攻擊細節披露不多，但研究人員將此次事件歸咎于名為Fancy Bear （又名APT28）的俄羅斯黑客組織。其攻擊對象是 一家衛星通信提供商，客戶遍布美國各關鍵基礎設施領域。

為響應關于可疑網絡行為的提示，CISA研究人員于今年早些時候在衛星網絡中搜查并發現了黑客蹤跡。在上個月的CYBERWARCON網絡安全會議上，CISA事件響應分析師MJ Emanuel在討論此次事件時稱， Fancy Bear似乎已經在受害者網絡中駐留了數月之久。

太空安全已經成為全球愈發關注的重大問題，如今世界各地的關鍵行業和軍隊都高度依賴衛星開展重要通信、GPS和互聯網訪問。就在今年2月俄烏戰爭爆發前，為歐洲提供衛星互聯網服務的美國電信企業Viasat曾遭受網絡攻擊，并導致烏克蘭當地網絡服務中斷。官員們將此次攻擊歸因于俄羅斯，認為這是戰爭期間最為重大的數字攻勢之一，也使得FBI與CISA就俄羅斯可能對衛星系統進行的其他滲透活動發出警告。

標準沖突、新廠商涌現，

太空網絡安全面臨噩夢

約翰霍普金斯大學專注太空網絡安全的Gregory Falco教授認為，如今的衛星安全狀況堪稱“有史以來最關鍵、也最脆弱的時期”。在他看來，隨著以往被嚴格限定在機密環境之內的漏洞與攻擊模式愈發公開，衛星系統已無法再低調保持自己的安全運行狀態。

Falco指出， 航天工業缺乏標準導致安全方法之間相互沖突，這也是許多系統易受攻擊的根源。“就安全態勢而言，所有衛星通信企業都面臨著一場可怕的噩夢。”

電氣與電子工程師協會（IEEE）和國際標準化組織，正在努力為太空制定網絡安全技術標準。但這些舉措還需要數年時間才能真正成型。

網絡安全專家還在關注其他問題，包括市場參與者的快速增加。根據英國宇航公司發布的一份報告， 新廠商們可能并未充分關注安全，特別是那些著力提高制造效率、依賴商業部件降低產品成本的企業。

CISA發現的此次衛星網絡入侵事件，就是安全防范松懈的實證。 以此為跳板，攻擊者可以獲取滲透關鍵網絡的網關。Fancy Bear利用的似乎是 2018年在未修復VPN中發現的漏洞，其允許惡意黑客通過活動會話抓取所有憑證。

由于目標衛星通信提供商與普通賬戶共享同樣的“應急”賬戶憑證，因此黑客可以使用竊取到的憑證登錄應急賬戶，進而在系統中往來移動。Emmanuel表示，在入侵發生之時，該公司還在傳輸未經加密的監控和數據采集（SCADA）流量，其中很可能包含工業設備狀態和來自控制中心的命令等數據。

網絡安全公司QuSecure執行負責人、前DARPA衛星項目經理Aaron Moore表示， 未加密的SCADA數據流并不少見。Moore稱經由衛星通信的大部分SCADA流量都未經過端到端加密，而是經“引導”通過無數路徑從地面站將信息傳輸至衛星、再返回地面接收站。因此，這類數據極易遭到攔截。

為了改善衛星通信行業的安全態勢，CISA之前曾主張將太空技術指定為關鍵基礎設施，借此讓該行業更易獲得情報共享支持與災難規劃資源。

雖然意見已提出一段時間，但似乎并未獲得積極響應。美國國家網絡總監Chris Inglis去年曾表示，“我們要邁開步子，向著關鍵部門、沿著這個思路前進。我們的關注重點在于如何跨越這些威脅。”

參考資料：cyberscoop.com