全文共3526字,阅读大约需7分钟。
卫星通信系统是人类探索和利用太空资源的重要方式,其安全稳定地运行对于我们的生活至关重要。然而,它也面临着来自多方的网络攻击威胁,这些威胁可能对卫星的正常工作造成干扰,引发各种故障。更为严重的是,部分故障可能会导致巨大的经济损失和社会影响。
本文是《智星动网 · 安全引航》卫星安全研究报告解读系列的第二篇,将介绍现实攻击案例,并从卫星组件的角度切入,剖析卫星通信系统面临的风险及攻击来源。
攻击事件屡屡发生
卫星安全威胁“无处不在”
在过去的几十年里,已经发生过诸多卫星网络安全攻击事件,其中一些具有代表性的案例如下:
-
1998 年,黑客入侵美国马里兰州 NASA 戈达德太空飞行中心的电脑,通过卫星地面站控制了美国和德国的 X 射线科学卫星 ROSAT。黑客使卫星将太阳能电池板对准太阳,导致动力系统被烧毁。
-
2007 年,美国地球观测卫星 Landsat7 的无线通信 C2 链路受到 12 分钟的干扰。
-
2008 年,美国宇航局地球观测卫星 Terra EOS AM-1 在 6 月 20 日和 10 月 22 日分别遭受两次干扰。经调查,怀疑攻击最初是通过位于斯瓦尔巴特群岛的康斯伯格卫星服务地面站进行的,但没有确凿证据。因此,可能是对卫星 C2 链路的直接攻击。
-
2015 年,Turla APT 组织通过利用卫星通信系统的安全问题,隐藏攻击行动中 C2 服务器的位置,使得研究人员难以定位到该组织的活动。
-
2018 年,黑客针对卫星运营商和美国国防承包商发起入侵行动。伊朗的黑客组织也试图进行类似攻击。
-
2020 年 7 月,全球卫星定位生产商 Garmin 遭到 WasedLocker 勒索软件的攻击,使得该厂商的大量数据系统被加密,云服务及定位服务一度无法使用。
-
2020 年 12 月, APT 组织通过供应链攻击将恶意后门植入到SolarWinds中,并通过该后门入侵了美国的政府组织以及非政府组织,其中包括美国航空航天局 NASA。
-
2022年,美国 Viasat 电信公司网络系统受到黑客攻击,攻击者以卫星通信网络的地面部分为目标,利用配置错误 VPN 访问所属 KA-SAT 卫星网络管理和运营部分,并禁用该卫星通信数万个调制解调器,导致欧洲多个国家互联网服务中断。
卫星组件复杂多样
是网络安全“风险之源”
卫星网络攻击主要有以下三种目的:拒绝服务,获取控制权、窃取或篡改卫星的重要数据。卫星平台和有效载荷是卫星网络攻击的首要目标,卫星平台和有效载荷涵盖了卫星的各种系统,决定卫星的功能和任务。一旦遭受攻击,可以导致卫星失去功能或者使任务无法完成,对地面系统和用户设备产生严重影响。
在攻击过程中,攻击者要先选择一个卫星的功能组件作为目标,而要想与该组件通信,必须接入一个接口,接口负责协调组件与外部参与者,如地面站之间的通信,下图为卫星内部各组件的攻击路线。
组件
(一)通信模块
通信组件主要包括通信模块(COM)和有效载荷通信模块(PLCOM),它们在卫星遥控系统中执行不同的任务。
COM 负责通过无线电遥控通道接收来自地面控制站的传入遥测指令。这些指令可能涉及卫星整体的任务调度、姿态控制、能源管理等方面。例如,地面站向卫星发送指令,要求改变轨道高度,或优化功率分配策略。
PLCOM 主要负责接收有效载荷数据或针对有效载荷的遥测指令(TC)。有效载荷数据是指卫星上搭载的设备或仪器所产生的信息,如摄像头拍摄的图像,传感器收集的环境数据等。针对有效载荷的 TC 则用于控制这些设备或仪器,如调整摄像头角度,修改传感器采样频率等。
(二)平台和有效载荷间的链路
平台和有效载荷链路连接了卫星的平台和有效载荷,为有效载荷与平台之间的交互提供了一个桥梁,能够传输平台和有效载荷之间的遥测、遥控、遥测数据和有效载荷数据等信息。
(三)数据处理系统
数据处理系统包含三部分,分别为指令数据处理系统(CDHS)、有效载荷数据处理系统(PDHS)和不可信数据处理系统(UDHS)。
卫星平台的核心是 CDHS,它管理卫星并控制所有功能。CDHS 使用类似于嵌入式设备的计算平台,机载控制器(OBC)。OBC 上运行的软件叫做机载软件(OBSW),OBSW 基于实时操作系统(RTOS)实现远程控制服务,主要处理 TC/TM 流量,提供数据存储,调度指令,执行自主动作,并更新程序代码;
用于执行卫星任务的有效载荷通常也部署一个PDHS。PDHS 的作用类似于 CDHS,PDHS 可以从 PLCOM 接收控制流量;
UDHS 是在卫星上运行有效载荷用户不可信代码的组件,因为代码不可信,所以必须与 PDHS 上的常规有效载荷操作隔离。UDHS 不是常见卫星的组件,随着卫星租用需求的增加,UDHS 的应用会更多。UDHS 可以是PDHS 的一部分,即 PDHS 运行一个操作系统,在其中一个隔离进程中运行不可信代码,并同时处理有效载荷数据。PDHS 也可以是 UDHS 的一部分,即 UDHS 部署一个不受信任的应用程序,处理接收组件的数据,由UDHS部署的解析应用程序充当 PDHS。
接口
卫星系统中接口实现不同组件或外部交互。根据接口的作用,可以分为外部接收器和数据获取器。外部接收器用于连接卫星系统和地面站等外部元素;数据获取器用于传输数据,例如遥控指令或遥测数据等。每个接口都属于一个特定的组件,并且一个组件可以有多个不同类型或功能的接口。
(一) 外部接收器
卫星无线电或光学接收器这些都属于外部接收器,这些接口通常是纯硬件操作,只会受到电磁和射频的威胁,但也有卫星使用存在固件的软件无线电。
(二) 数据获取器
数据获取器处理内部组件之间的交互,只接收来自组件的流量,并将其发送给父组件,例如指令数据处理系统的数据获取器从通信模块获取数据。
低成本攻击手段崛起
卫星安全威胁“近在身边”
卫星网络安全不仅与卫星的软件及组件息息相关,还与攻击者的能力和动机有关。有人认为,卫星漂浮在遥远的太空中,只能通过昂贵的地面站进行通信。因此,攻击者大多会因资金不足而望而却步,并认为,卫星难以收集到资料,获取不到内部的信息,攻击者无从下手。然而,随着卫星数量的增加,商用卫星、开源库的应用,以及卫星互联网的不断发展,用户站数量逐步攀升,具备卫星知识的人群也逐渐壮大。如今,已有很多研究人员通过购买一些配件,低成本组建成一个功能齐全的地面站,个人与卫星通信已不是遥不可及的事情,卫星安全威胁“近”在身边。
外部攻击者
外部攻击者可以使用定制的地面站或者定制的卫星与目标卫星建立联系。因此,外部攻击者可以向接收外部流量的任何接口发送数据,并接收来自接口的响应。如下图所示,这里与外部接口交互的外部攻击者可以分为两种类型。
一种是定制地面站攻击者,定制地面站攻击者通过非法获取或伪造合法用户身份或密钥,使用除卫星操作员使用的地面站之外的任何地面站与目标卫星通信。虽然该通信可能受到访问控制机制的保护,但攻击者还是有可能绕过这类保护措施,从而对通信组件构成威胁。
另一种是星间链路攻击者,星间链路攻击者通过定制或劫持的卫星与目标卫星进行星间链路连接,实现攻击目的。但这需要发射定制卫星或具有其他卫星控制能力。
恶意有效载荷用户
恶意有效载荷用户能够利用卫星有效载荷提供的服务,对卫星网络进行攻击。恶意有效载荷用户通常使用卫星服务提供商提供的小型天线来使用卫星提供的预设服务。如下图所示,这些攻击者发出的流量会被卫星处理,经过解析和处理后,在有效载荷数据获取器的接口接收。如果攻击者成功突破 PDHS,那么将极有可能通过链路遥控指令获取器进而掌控卫星平台。
恶意载荷服务主机
恶意载荷服务主机是拥有在载荷上托管自定义服务功能的主机,也就是允许用户上传不受信任代码的主机。这些不受信任的用户服务一般运行在 UDHS,攻击者如果突破 UDHS 到 PDHS,将有可能通过链路遥控指令获取器掌控卫星平台。
操作人员
操作人员控制卫星的运行,并通过链路遥控指令获取器接口向卫星发出命令,从而对卫星实施完全控制。操作人员通常可分为具有完整权限和部分权限的内部人员。
完全权限内部人员允许使用关键遥测指令,例如改变轨道、关闭载荷或平台系统等进行互动。可以对卫星进行任意控制,并可能造成严重的损害。
部分权限的内部人员只允许与卫星进行一定程度的互动,使用非关键遥测指令,例如请求遥测数据或管理次要载荷系统,这类攻击者在与卫星的互动中会受到限制。
点击“阅读原文”,查看报告完整版
原文始发于微信公众号(绿盟科技):发起一次卫星安全攻击难吗?真实案例告诉你答案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论