首批針對星鏈衛星網的攻擊手法曝光:篡改接入終端執行任意代碼
研究人員只需要花費25美元,就能用小零件制作出硬件入侵工具,在星鏈衛星天線上運行任意代碼。
前情回顧·衛星網絡安全
美國“衛星網中斷”事件復盤:管理后臺遭入侵,數萬Modem被下發破壞指令
“星鏈”衛星互聯網在俄烏沖突中成為烏克蘭的生命線
“新基建”下的衛星互聯網安全態勢分析
自2018年以來,馬斯克的星鏈計劃已經先后將3000多顆小型衛星送入軌道。星鏈衛星網絡成功將互聯網連接覆蓋到地球上原本難以觸及的位置,并成為俄烏戰爭期間重要的信息傳輸資源。面對蓬勃的行業發展態勢,馬斯克決定再進一步發射數千顆衛星。但與其他新興技術一樣,黑客們也很快盯上了這些衛星組件。
近日,來自比利時研究型綜合高校魯汶大學的安全研究人員Lennert Wouters,揭示了星鏈用戶終端的首批安全缺陷之一。星鏈終端,指的是安裝在用戶住宅和建筑物頂部的衛星天線(綽號為“Dishy McFlatface”的相控陣碟形天線)。
在本屆拉斯維加斯Black Hat安全大會上,Wouters將詳細介紹攻擊者如何通過一系列漏洞訪問星鏈系統,并在設備上運行自定義代碼。
自制黑客工具并開源,
成本僅25美元
為了研究如何訪問天線軟件,Wouters買下一副天線并拆解研究,設計出一款可以接入星鏈天線的定制化黑客工具。而這款工具的基礎,是一種名為modchip的定制電路板。因為完全由現成的零部件組成,所以這款電路板售價僅為25美元。
在接入星鏈天線之后,Wouters的自制印刷電路板(PCB)就能發起故障注入攻擊,導致系統暫時短路以繞開星鏈安全保護機制。在此之后,Wouters就能成功侵入星鏈系統中原本鎖定的部分。
Wouters已經在GitHub上開源了自己的黑客工具,并分享了關于攻擊方式的一些細節。他解釋道,“站在攻擊者的角度,首先想到的自然是攻擊衛星本體,也就是構建自有系統與衛星通信。但這顯然非常困難。所以要想成功攻擊,最好能借助于用戶終端,這樣很多難題就迎刃而解了。”
去年,這位研究人員已經向星鏈項目方通報了這些缺陷,SpaceX公司也通過漏洞獎勵計劃向Wouters支付了相應的獎金。Wouters坦言,雖然SpaceX發布的更新加大了實施攻擊的難度,但除非該公司開發出全新版本的主芯片,否則無法從根本上解決問題。Wouters通過調整modchip再次成功實現入侵,并表示這一隱患正在威脅所有星鏈用戶終端。
星鏈項目方則表示,計劃在Wouters的Black Hat演講之后發布“公開更新”,但拒絕在實際發布前向媒體透露任何更新細節。
繞過保護機制,
成功破解天線固件
星鏈互聯網系統由三大主要部分組成。首先,星鏈衛星在距地面約340英里的近地軌道上運行,負責實現信號覆蓋。而地面系統又分為兩種:將互聯網連接發送至衛星的網關,以及用戶購買安裝的Dishy McFlatface天線。
Wouters的關注重點正是其中的用戶終端,這些天線最早采用圓形設計,目前最新型號已經改為矩形外觀。
自從這款用戶終端開放銷售以來,星鏈天線已經被多次拆解。在YouTube上,工程師們親手拆開設備,展示其中的組件并介紹其如何運轉。Reddit論壇上也有不少關于星鏈終端的技術規格討論。但Wouters明顯更為專業,曾經用自制硬件在90秒內解鎖特斯拉汽車的他,認真研究了星鏈終端及其芯片的安全性設計。在他看來,“這款用戶終端絕對是高手設計出來的。”
他對星鏈終端的攻擊分為多個階段、對應不同技術措施,最終才摸索出這塊能突破碟形天線安全壁壘的開源電路板。總的來說,攻擊的基本思路就是使用定制電路板繞過簽名驗證檢查,用欺騙的方式讓系統誤以為啟動過程正確、并不存在篡改。Wouters表示,“只有這樣,我們才能精確計劃和控制何時注入故障。”
自2021年5月開始,Wouters就已經著手測試星鏈系統。他在魯汶大學的樓頂獲得了268 Mbps的下載速度和49 Mbps的上傳速度。之后,他開始用“熱風槍、撬棒、異丙醇再加上極大的耐心”取下天線上的金屬蓋,逐一分析星鏈終端的內部組件。
在直徑達59厘米的金屬蓋下,隱藏著一個大型PCB。其中的片上系統包括一枚定制化四核ARM Cortex-A53處理器,由于架構未經公開所以破解難度極大。板上的其他元件還包括射頻設備、以太網供電系統和GPS接收器。親手拆解之后,Wouters逐漸弄清了星鏈終端是如何啟動、又是怎樣下載固件的。
為了設計modchip,Wouters掃描了星鏈天線并找到了最適合當前星鏈電路板的設計方案。他的modchip需要通過幾根線纜被焊接到星鏈PCB上,modchip本體則由Raspberry Pi微控制器、閃存、電子開關和穩壓器組成。在設計這塊終端電路板時,星鏈工程師們打上了“產于地球,人類制造”(Made on Earth by humans)字樣。Wouters則在自己的modchip上幽默了一把,打上“壞于地球,人類制造”(Glitched on Earth by humans)。
為了接入終端軟件,Wouters的定制系統會通過電壓故障注入攻擊繞過安全保護機制。在星鏈天線開啟時,會經歷多個不同的引導程序加載階段。Wouters的攻擊指向第一個引導加載程序(即ROM引導加載程序),此程序是被刻錄到片上系統的,因此無法更新。攻擊成功后,他會在接下來的其他引導加載程序上修改固件,從而奪取對終端天線的控制權。
Wouters解釋道,“總體來看,最理想的攻擊切入點就只有兩個:簽名驗證,或者哈希驗證。”他的方法指向的正是簽名驗證過程。“工程師在設計的時候會努力避免短路,但我們的攻擊方法卻是在刻意利用短路。”
最初,Wouters本打算在啟動周期結束時(即Linux操作系統全部加載完成)再向芯片注入故障,但最終發現搶在啟動開始時注入才是正確思路。Wouters表示,這種方式的可靠性更高。為了注入故障,他必須讓負責平滑電源的去耦電容停止工作。所以,Wouters攻擊方案的實質就是先禁用去耦電容,再運行故障以繞過安全保護,最后重新啟用去耦電容。
經此過程,Wouters就能在啟動周期之內篡改并運行星鏈固件,最終獲得底層系統訪問權限。Wouters指出,期間星鏈方面也做出過回應,表示愿意向他提供研究員級別的設備軟件訪問權限,但他拒絕了。他想更進一步,嘗試設計modchip。(在測試期間,他把改裝后的終端掛在實驗室窗外,還套了個塑料袋防止設備被水打濕。)
星鏈項目方隨后發布了固件更新,但也只是拉高了攻擊難度,并沒能徹底根除隱患。不過Wouters也承認,現在對星鏈終端的入侵需要投入大量時間和精力。雖然他的嘗試沒法徹底摧毀衛星系統或者破壞網絡連接,但可以讓人們更深入地理解星鏈網絡的運作方式。
Wouters解釋稱,“我現在的目標,是嘗試跟后端服務器建立通信。”雖然他的modchip詳盡設計已經公布在GitHub上,但Wouters完全沒有出售modchi成品的打算,也從未向他人提供過篡改后的用戶終端固件,或者利用此漏洞的確切細節。
衛星網安全應比照關基重視程度
如今,亞馬遜、OneWeb、波音、Telesat和SpaceX等都在積極發射自己的衛星并建立星座計劃,衛星安全必將受到更嚴格的審查。
除了為家庭用戶提供網絡連接之外,這些系統還能幫助船舶等設施接入網絡,發揮重要的關鍵基礎設施作用。在另一邊,惡意黑客已經將衛星互聯網視為攻擊目標。隨著俄烏戰爭爆發,據稱已經有俄羅斯軍方黑客將矛頭指向Via-Sat衛星系統,向其中部署Wiper惡意軟件,并致使用戶路由器“變磚”和系統離線。攻擊共導致歐洲約30000條互聯網連接中斷,其中涉及5000多臺聯網風力渦輪機。
Wouters強調,“我認為很有必要對這類系統開展安全評估,它們也是關鍵基礎設施的一部分。考慮到星鏈終端這類設備的獲取難度并不高,肯定會有惡意黑客在考慮實施攻擊。”
2022年8月10日更新:
在Wouters的Black Hat會上演講結束后,星鏈方面發布了一份六頁的PDF,解釋了其系統保護思路。文章提到,“我們意識到這是一種令人印象深刻的高水平攻擊思路,也是我們在系統中發現的首例此類攻擊。這讓我們意識到,能夠物理侵入星鏈終端的攻擊者可以借此奪取訪問權限、實施惡意活動。因此,我們將依靠「最低權限」設計原則限制這類攻擊對廣泛系統造成的影響。”
星鏈項目方重申,此攻擊需要對用戶終端進行物理訪問,并強調對安全啟動系統注入故障只會影響到當前設備。整個星鏈系統的其余部分不會因此受到影響。“普通星鏈用戶無需擔心受此攻擊影響,也無需采取任何應對措施。”
