太空競賽：衛星網絡攻擊催生太空網絡防御措施

2022年，太空領域基礎設施遭遇網絡攻擊已成現實，兩個機構分別提出安全框架，旨在領先未來太空網絡攻擊一步。

這兩個框架的目標不僅僅在于更好地了解潛在威脅（就適用于太空領域的傳統戰術、技術與程序（TTP）而言），也在于幫助公司和政府機構創建應對衛星和航天器攻擊的對策。

2023年1月3日，美國國家標準與技術研究所（NIST）和美國政府承包商MITRE公司共同發布了適用于太空領域地面部分的《NIST網絡安全框架》。這份NIST出版物補充了非營利政府承包商The Aerospace公司的另一項工作：去年10月創建的太空攻擊研究與戰術分析（Sparta）矩陣。該矩陣是適用于天基基礎設施威脅的一版MITRE ATT&CK框架。

網絡攻擊現已指向衛星

2022年年初，美國聯邦調查局（FBI）和網絡安全與基礎設施安全局（CISA）警告稱，針對衛星地基與天基基礎設施的攻擊可能變成現實。很快，這一警告應驗了。去年之中，Viasat和SpaceX的星鏈衛星集群都遭遇了民族國家的攻擊，各國政府和航空航天公司被迫設立各種應對攻擊的防御措施。

例如，俄烏沖突之初，配合俄羅斯的黑客就攻擊了Viasat衛星通信網絡的地面部分，令整個歐洲的互聯網調制解調器統統掉線。之后不久，政府官員和SpaceX首席執行官馬斯克爆料，俄羅斯攻擊了為烏克蘭提供互聯網連接的分布式衛星互聯網服務星鏈（Starlink）。

去年5月時，馬斯克在推特上聲明：“截至目前，星鏈擋住了物聯網的網絡戰干擾和黑客攻擊，但攻擊者正加緊努力。”

去年11月，星鏈再遭攻擊，與俄羅斯有關的高級持續性威脅Killnet對星鏈展開了DDoS攻擊活動，致使該服務數小時內無法訪問。

由此推論，衛星也可能成為非網絡攻擊的目標。例如，有研究人員提出，可在地表上空數十公里實施千萬噸級核爆，上升的放射性粒子在近地軌道上形成輻射云，致癱星鏈衛星。

太空網絡攻擊非特例

太空領域的網絡攻擊者多為民族國家支持的APT，常以致癱衛星和航天器為目標。但當下很多地面衛星基礎設施采用通用的計算機和通信技術，可能會為其他類型的攻擊者也敞開大門。

最近，在知名網絡安全新聞網站Dark Reading的專欄中，國防和政府承包商BAE Systems Digital Intelligence的太空安全負責人Neil Sherwin Peddie表示，通用技術的相似之處使攻擊者更容易利用這些衛星支持系統，而復雜的供應鏈亦使得基礎設施更容易受到攻擊。

他寫道：“衛星實際上就是裝載了嵌入式系統和接口的平臺，包括無線電通信、遙測跟蹤控制系統和地面段連接。這些基本上都是企業網絡，但也是網絡罪犯的可乘之機。”

Viasat所遭攻擊由兩個部分組成，凸顯出已知攻擊方法稍加調整即可用于攻擊地基和天基衛星系統。

根據Viasat咨詢通報，攻擊者先利用了“VPN設備中的錯誤配置來獲得對地基網絡的遠程訪問權”。然后，攻擊者發現并入侵衛星網絡的管理網絡，向地面調制解調器發出指令。

該公司表示：“具體而言，這些破壞性指令重寫了調制解調器閃存中的關鍵數據，使調制解調器無法訪問網絡，但無法使用的情況不是永久性的。”

獨立網絡安全研究人員Ruben Santamarta在后續分析中指出，這些指令執行的功能類似于數據擦除器攻擊，通過重寫關鍵數據來中斷操作，是網絡-物理攻擊的常見手法。

新攻擊途徑昭然若揭 

The Aerospace網絡評估和研究部高級項目負責人Brandon Bailey表示：“航天器將變得愈加自動化，因此我們需要更多的機載自治網絡防護。也就是說，未來我們必須在航天器上集成網絡分隔、身份驗證、加密和入侵檢測與防御等保護措施。”

衛星網絡安全框架統納天地

NIST衛星地面段網絡安全框架（NIST-IR-8401）基于通用網絡防御方法，包括五大功能：資產及其網絡風險識別、資產保護技術與程序開發、攻擊檢測功能、事件響應所需的基礎設施，以及從攻擊中恢復的能力。

NIST-IR-8401中寫道：“地面段變得愈加互聯，更多仰賴基于云的地面基礎設施，但傳統太空任務和太空飛行器本身使用的是定制的軟件和硬件，而這些軟硬件通常并不是為融入現代高度互聯的網絡生態系統而生的。對于可能早在安全最佳實踐開發出來之前就創建的老舊組件，或者采用過時安全措施的組件，這就很成問題了。”

Sparta框架旨在涵蓋對天基組件（如衛星、航天器和其他系統）的網絡攻擊。Bailey表示，該框架將隨太空領域的發展和攻擊者所用TTP的變化而發展和變更。

“航天器端的網絡是個相對較新的領域；因此，隨著PCSpoof等漏洞的披露，我們也將補充TTP和相應的對策。我們還計劃與太空信息共享與分析中心（Space-ISAC ）合作，隨著框架的不斷成熟，我們將納入已識別的威脅信息和TTP。”