航天工業五個重大網絡安全事件
針對國際太空計劃的破壞性網絡攻擊和數字間諜活動呈現令人擔憂的增長趨勢。在過去五年中,國際太空計劃和衛星關鍵基礎設施遭受的一系列重大網絡攻擊已經成為太空網絡安全態勢的轉折點。
近年來,太空數字關鍵基礎設施的軍民融合趨勢正在提速。例如SpaceX、BlueOrigin和波音公司的成功發射,SpaceX通過Starlink為烏克蘭提供關鍵通信基礎設施,以及太空部隊和太空ISAC的創建。太空網絡安全威脅也隨著地緣政治緊張局勢而升級,俄羅斯已經宣布將退出國際空間站(ISS)。
最早的太空網絡安全事件報道可追溯到2008年,在國際空間站從Windows XP切換到Linux之前,據西方媒體報道,俄羅斯宇航員將一個受感染的USB設備引入了空間站上的計算機,導致國際空間站上的宇航員使用的基于Windows XP的筆記本電腦感染了一種名為W32.Gammima.AG,一種竊取密碼的計算機病毒。美國國家航空航天局(NASA)官員當時將這種病毒描述為“令人討厭的東西”。補充說它“不是經常發生,但這不是第一次”。
最近,威脅情報結構BushidoToken盤點了航天工業近年來遭遇的五個重大太空網絡安全事件,具體如下:
一、太空數字間諜活動:衛星劫持
衛星通信(SATCOM)可以提供電視廣播和遠程訪問互聯網。然而,這種基于衛星的互聯網訪問被稱為下行鏈路。
2015年9月,卡巴斯基實驗室披露了一個名為Turla的俄羅斯高級持續威脅(APT)組織(又名Snake或VenomousBear)利用了這些衛星互聯網連接的弱點。
Turla將監視下行鏈路,識別活動IP地址,在入侵期間選擇一個作為源IP地址,并通過在發送到衛星和從衛星發送的數據包中隱藏惡意代碼來劫持它。被Turla入侵的系統還會將數據泄露到常規衛星互聯網用戶的IP地址。
Turla使用這種特殊技術針對中東和非洲的政府、大使館、軍事實體、教育機構、研究組織和制藥公司的系統。Estionian情報部門將Turla的業務與俄羅斯聯邦安全局(FSB)聯系在一起。2022年2月,德國調查記者披露了兩名Turla開發商的身份以及他們與俄羅斯FSB的關系。
Turla的衛星劫持攻擊示意圖
(來源:卡巴斯基)
二、NASA成為SolarWinds供應鏈攻擊的受害者
2020年12月,與Nobelium APT組織(又名APT29、CozyBear或DarkHalo)相關的SolarWinds供應鏈攻擊內幕被披露。它涉及SolarWinds Orion平臺的惡意軟件更新,已被超過1.8萬名SolarWinds客戶下載。Nobelium設法入侵了SolarWinds軟件構建環境,并使用名為SUNSPOT的軟件來加載SUNBURSTOrion軟件更新后門。
據報道,入侵始于2019年9月,并于2019年10月首次嘗試添加測試代碼并將其推送給SolarWinds客戶。為了使其更難被發現,SUNBURST的代碼是使用從Orion平臺竊取的證書進行簽名,并且它的命名約定與Orion的代碼相同,因此SolarWinds開發人員會將其誤認為是他們自己的。安裝后,SUNBURST將休眠12-14天,然后通過DNS聯系C&C服務器。SUNBURST的流量還使用Orion改進計劃協議(OIP)來混入合法的SolarWinds活動。然后,Nobelium會使用SUNBURST部署其他惡意軟件,例如TEARDROP、RAINDROP和其他一些惡意軟件。
根據美國國家安全局(NSA)的聲明,大約100個非政府實體收到了后續活動,其中包括幾個美國聯邦政府機構和NASA。2021年1月,美國國家情報總監辦公室(ODNI)正式發表聲明稱這次攻擊是由俄羅斯外國情報局(SVR)策劃的。
分析:
- 盡管太空探索和研究涉及國際太空機構之間的大量合作,但一些情報機構在這些協議之外運作并無視這些協議。
- Turla和Nobelium都屬于高級持續性威脅,但并未竊取知識產權信息。
- 此類活動本質上是傳統間諜活動的網絡版本,將始終發生在民族國家的競爭對手之間。很難將這些類型的入侵稱為“攻擊”,因為沒有破壞性組件。然而,在這些網絡間諜活動中收集的信息可能會支持未來的破壞性進攻行動。
三、威脅太空的破壞性網絡攻擊:“garminwasted”
降低IT系統和網絡性能的網絡攻擊更有可能來自網絡犯罪威脅團體,而不是民族國家的APT組織。2020年7月下旬,美國宇航局的Ingenuity Mars直升機使用的導航設備和智能設備的主要制造商Garmin遭到WasedLocker勒索軟件的攻擊。Garmin的云服務,包括飛行員使用的設備同步和地理定位儀器一度無法使用。
Garmin在其官方聲明中證實遭受網絡攻擊,導致在線服務中斷,一些內部系統被加密。Garmin報告說,沒有證據表明任何人在事件期間未經授權訪問了用戶數據。一位熟悉該事件的匿名Garmin員工透露,勒索贖金要求為1000萬美元。在全球服務中斷四天后,Garmin突然宣布他們已向網絡犯罪分子支付贖金以獲得解密器后開始恢復服務。
值得注意的是,WastedLocker由于與eCrime威脅組織開發的其他勒索軟件系列DoppelPaymer和BitPaymer的相似性而被歸因于EvilCorp。2019年12月,EvilCorp被列入造成1億美元經濟損失的美國OFAC制裁名單。因此,向EvilCorp支付贖金可能會導致Garmin被美國政府處以巨額罰款。
Garmin服務中斷通知和WasedLocker贖金記錄
(來源:BleepingComputer)
四、首次大規模衛星通信攻擊
太空領域最具破壞性的網絡攻擊之一是在俄羅斯入侵烏克蘭當晚針對歐洲衛星通信網絡發動的攻擊。美國和歐盟聲稱,2022年2月24日,俄羅斯對屬于Viasat的名為KA-SAT的商業衛星通信網絡發起了網絡攻擊。網絡攻擊旨在破壞烏克蘭的指揮和控制行動,并對包括德國、希臘、波蘭、意大利和匈牙利在內的其他歐洲國家造成重大溢出影響。直到一個月后,歐洲衛星寬帶服務才從事件中恢復。
據Viasat稱,數以萬計的SATCOM調制解調器被毀壞,不得不更換。據報道,攻擊者能夠通過利用“配置錯誤的VPN”獲得訪問權限,并橫向移動到KA-SAT網絡的管理部分。隨后,攻擊者執行命令來清除調制解調器的內存,使它們無法使用。
有趣的是,來自網絡安全供應商SentinelOne的研究人員發現了一種名為AcidRain的擦除惡意軟件,該惡意軟件專為SATCOM調制解調器使用的MIPS固件而設計,可能用于KA-SAT攻擊。
SentinelOne研究人員認為,AcidRain是由與VPNFilter相同的惡意軟件作者開發的,VPNFilter被正式歸因于俄羅斯主要情報局(GRU),更具體地說是GTsST Unit 74455,即著名的沙蟲團隊。
受攻擊的KA-SAT調制解調器的對比分析
(來源:reversemode)
五、俄羅斯太空機構遭到黑客攻擊
對航天工業發起破壞性網絡攻擊并不限于國家資助的APT團體和有組織的網絡犯罪分子。2022年3月,一個名為Network Battalion 65(又名NB65)的親烏克蘭黑客組織通過Twitter分享說,它對俄羅斯航天局Roscosmos發起了攻擊。
Roscosmos總干事德米特里·羅戈津(Dmitry Rogozin)后來在推特上表示NB65的說法“不真實”,并稱他們為“小騙子”。不過,NB65分享的截圖據稱屬于俄羅斯衛星成像軟件和車輛監控系統。Roscosmos事件最終被俄官方否認,NB65也未能提供足夠有效證據。
同樣在3月,一個據稱與黑客組織Anonymous有關的推特帳戶透露另一個名為v0g3lSec的黑客組織破壞了一個屬于俄羅斯空間研究所(IKI)的網站,并泄露了據稱屬于俄羅斯航天局Roscosmos的文件。其中一份被盜文件討論了月球南極潛在著陸點的位置。這與俄羅斯當局已經宣布的南極地點相吻合,這可能會增加這些文件被成功竊取的可信度。
NB65和v0g3lSec攻擊俄羅斯航天局
(來源:Vice)
分析:
雖然不常見,但純粹的破壞性網絡攻擊往往是最令人恐懼的。數據丟失和對系統的非法訪問可能會造成數百萬美元的損失,并使運營延遲數月或數年。最具破壞性的攻擊通常會使用數據加密勒索軟件或數據破壞擦除器。
沙蟲團隊實施的進攻性網絡行動是世界上最危險的行動之一。它是少數成功發起多次網絡攻擊的APT組織之一,這些攻擊具有破壞性影響,主要針對烏克蘭。
總結:太空網絡安全形勢嚴峻
針對太空組織和衛星網絡的攻擊技術往往是最先進的,但最危險的對手也許不是民族國家和網絡犯罪威脅團體,而是黑客活動團體上。與通常試圖秘密獲取和維持訪問權限的國家黑客或希望將訪問權限貨幣化的網絡犯罪分子不同,黑客活動主義者往往試圖通過破壞網站、通過DDoS攻擊關閉網站或泄露數據的方式來羞辱對手,支持其活動主張。
航天工業的威脅模型與許多其他垂直行業大不相同。攻擊面涉及許多先進技術,例如衛星通信網絡。現代航空供應商往往無力保護這些技術,需要定制安全解決方案。例如,物聯網(IoT)設備的端點安全性目前遠不及現代工作站的水平,這使得航天產業對高級持續威脅的準備嚴重不足。
