天基太空资产难逃网络攻击

攻防

1年前

　　2月24日，俄乌冲突爆发前一小时，卫星提供商Viasat的KA-SAT网络遭遇“多方面”攻击，是为俄乌冲突相关的重大网络安全事件之一。乌克兰和西方情报机构都认为攻击是俄罗斯发起的，旨在削弱乌克兰的国家指挥和控制体系。

　　然而，这次攻击针对的消费级KA-SAT网络是另一家卫星公司（欧洲通信卫星公司的子公司Skylogic）代表Viasat运营的，攻击中断了数千名乌克兰客户和欧洲其他数万名固定宽带客户的宽带服务。本次事件凸显出卫星等天基资产在面对恶意漏洞利用时与其他关键基础设施一样脆弱。

　　在此背景下，上周，美国国家标准与技术局（NIST）恰到好处地主办了第三届太空网络安全研讨会。峰会开幕式上，美国国家海洋和大气管理局太空商务办公室主任Richard DalBello称：“冲突期间发生的多方面蓄意网络攻击表明，美国政府需要与我们的国际伙伴和私营部门合作，加强当前和未来太空系统的网络韧性。”

　　美国国土安全部（DHS）情报分析师Holly Shorrock表示：“尽管情报界和政府都很关注这个问题，但普通人的日常生活仍旧很大程度上感受不到其影响，不像恐怖主义、极端天气事件，甚至跨国有组织犯罪等其他国家安全问题的影响那么大。”

太空系统面临网络威胁

　　Shorrock解释称，任何太空系统都由三个部分组成：地面部分、太空部分和链路部分。“这三个部分中的任一部分都容易遭到网络攻击。这或许会令某些人感到惊讶，因为之前的假设是太空系统通常隔绝在网络威胁之外。还有一种假设是商业系统在某种程度上也是隔离的。然而，太空格局发生了重大变化，现在政府和军队依赖商业系统，因此我们对网络威胁状况的理解也出现了极大改变。”

　　尽管这三个组件都容易遭到网络攻击，但地面和链路部分是最诱人也最容易的攻击途径，正如Viasat攻击所呈现的那样。对太空中的资产发起网络攻击是万不得已的下下选。

溢出效应是关键问题

　　Shorrock告诉与会者，若说在卫星网络攻击上有什么值得注意的，那就是此类攻击可能会产生破坏性溢出效应。“无论哪个部分受到攻击，对冲突地区内太空系统的攻击都可能在该地区之外，远离冲突地区的地方产生溢出效应，影响天基服务在冲突边界以外的企业及其他消费者。”

　　这些溢出效应可持续到攻击后数周甚至数月，损害服务提供商的声誉，并引发对太空服务可靠性的质疑。此外，“遭到攻击的公司几乎肯定会承担服务恢复、硬件修理和其他攻击缓解方式的财务负担。”

　　据称，Viasat攻击的溢出效应甚至蔓延到了摩洛哥，其中一些影响持续了一个多月之久。作为例证，Shorrock提到了一家德国能源公司，该公司丧失了对5800台风力涡轮机的远程监控能力。“网络攻击之后一个多月的时间里，193个风力发电场依然断联。这家能源公司称，中断导致风电场数据监控离线，使风能转换器容易受到网络犯罪团伙或其他恶意黑客的进一步攻击。”

俄罗斯还对乌克兰发起了单独的欺骗和干扰攻击

　　Shorrock称，俄乌冲突以来，俄罗斯还采取了其他类型的卫星攻击，例如信号欺骗和干扰。“欺骗全球导航卫星系统（NSS，美国的GPS只是其中一种）既简单又便宜，是犯罪组织和军队偏爱的一种策略。尤其是俄罗斯，在公众眼中，俄罗斯自2017年以来一直与这种策略联系在一起，并在当前与乌克兰的冲突中使用了这种策略，其溢出效应波及冲突地区以外的基础设施和商业活动。”

　　类似Viasat攻击，俄罗斯的NSS欺骗攻击也造成了破坏性溢出效应。根据欧盟航空安全行业的报告，整个俄乌冲突期间，在冲突地区边界附近，以及远至以色列的其他地区，GPS等信号一直受到干扰和欺骗。

　　 Shorrock表示，这种干扰和欺骗的溢出效应影响了航空业，导致一些航班停飞长达一周。“一些飞机不得不在飞行途中改变航线，而在至少一起其他案例中，这些溢出效应导致飞机无法安全执行着陆机动。”

　　俄罗斯的信号干扰同样对乌克兰造成了破坏。“据称，还有一家在乌克兰提供卫星通信的公司也遭到了俄罗斯的信号干扰。该公司负责人公开表示，由于不得不调度资源来应对电子攻击，公司的其他项目可能会被推迟。”Shorrock说道。

Viasat的经验教训

　　Viasat政府系统副总裁兼首席技术官Phil Mar表示，NIST去年邀请他在峰会上发言时，“我在想我会像以往参加此类会议时那样，用假设的网络事件来设置话题场景。我总是不愿意就发生在其他人身上的事情发声。但是，正如音乐剧《汉密尔顿》的歌词所言，这一切发生时，我就在那里。所以，我这次会用真实事件。”

　　Mar表示，2月24日早间，Skylogic的性能开始降级，“我们观察到来自多个客户的调制解调器和相关客户端设备的恶意流量非常大。” Viasat和Skylogic的人员努力清除恶意流量，但随后开始看到调制解调器不断掉线。

　　最终，攻击期间数千台调制解调器掉线，未能看到它们重新上线。后来的网络分析发现，有地基网络入侵在探索各种配置，用以访问这家卫星提供商的网络管理部分。

　　攻击通过受信网络擅自切入该公司用以管理和运营网络的特定网络会话，在大量住宅调制解调器上执行有针对性的命令，覆盖闪存中的关键数据，使调制解调器无法访问网络。

　　Viasat取证团队在大约24小时里成功逆向工程了该攻击并开始恢复网络。“我们在这一案例中学到了很多东西。我们知道了哪些技术有效，哪些技术可使我们能够如此迅速地恢复网络，以及，我们可以在哪些方面做得更好。”

参考阅读