瑞士智库发布俄乌战争中针对太空部门网络攻击的研究报告(下篇)

admin 2024年11月22日20:03:53评论45 views字数 11804阅读39分20秒阅读模式

本文字数:10882字

阅读时间:32分钟

瑞士智库发布俄乌战争中针对太空部门网络攻击的研究报告(下篇)

编者按

瑞士苏黎世联邦理工学院安全研究中心(CSS)风险与弹性团队网络防御项目的高级研究员克莱门斯·普瓦里尔近日发布报告,调查俄乌战争期间针对太空部门的网络行动,讨论针对太空部门开展各种类型的网络攻击以及针对的实体类型,分析网络威胁行为者的行为及其利益和动机,探讨网络行动的政治和战略影响及其对外层太空军事化和武器化的影响,并提出对策建议。

报告概述了俄乌战争中以太空部门为目标的各种黑客组织、其行为方式、对战场活动的影响以及与政府的关系。报告称,虽然ViaSat网络攻击由国家行为者发起,但随后的攻击主要来自黑客活动组织,在124起行动中有116起由黑客活动组织实施;威胁行为者的活动表明不应简单地二元划分为独立运作的黑客活动团体和国家行为者,黑客组织与政府的联系多种多样,包括毫无关联、存在协调和交换、获得政府认可、渴望政府联系和支持、可能是政府的掩护等;国家行为者也将目标瞄准了太空部门,已确定的国家行为者的活动很可能只是“冰山一角”;威胁行为者不一定专门针对太空系统,还未出现专门针对太空系统的组织,大多数威胁行为体并不熟悉太空领域;威胁行为者可能伪称或夸大网络攻击,但上述表态难以被证实或揭穿,虚假自我归因仍然可以产生负面影响,包括破坏信誉和信任、制造恐惧和恐慌等;大多数已识别的行动实际上并未针对太空系统本身,而只是针对卫星服务、网络或公司的网站,不会影响在轨卫星、用户、行动或目标组织,但是达到了利用网络行动来传达政治或社会叙事的目的;黑客行动可能与更广泛的政府目标并不一致,政府可能认为黑客组织的行动对于实现其目标毫无用处,国家容忍的攻击非常常见,但国家支持的攻击则较少见;太空是令黑客着迷的对象和热点讨论话题,也是黑客网络行动的终极挑战。

报告讨论了俄乌战争中针对太空领域的网络行动的政治和战略利害关系,概述了冲突在威胁形势演变中的作用及其对外太空军事化和武器化的影响。报告称,针对太空系统的网络攻击在武装冲突中愈发普遍,俄乌战争使得战时卫星遭受网络攻击的可能性发生了变化,预计针对卫星网络的网络攻击在未来的冲突中将变得更加普遍,并且黑客组织将继续对太空系统保持兴趣;太空尚未通过网络手段武器化,虽然网络冲突扩展到了太空系统,但仍然局限于地球上的系统,尚未蔓延到轨道环境中的物体,然而这足以扰乱太空服务的机密性、完整性或可用性,随着各国稳步发展反太空能力并观察太空中的敌对行为,外层太空武器化正在缓慢但稳步地增加;大多数网络攻击不属于联合行动,未发现任何与陆海空行动相协调的攻击,进入卫星网络并在正确的时间发动攻击需要复杂的网络攻击能力以及与其他武装部队的协调能力;尽管大多数网络行动独立于陆地行动进行且后果甚微,但部分网络行动影响了战场中的太空使用;以平民为目标引发了对此类行动合法性以及国际人道主义法在太空和网络空间的适用性的质疑,并引发各国对非法活动的容忍度以及触发反应的特定阈值的质疑; 黑客行动主义团体中出现了一种新趋势,即亲俄罗斯和亲巴勒斯坦团体开始组建黑客联盟,未来有可能开展联合活动。

报告提出四项主要建议:一是太空部门应建立网络缓解措施、最佳实践、与工业和商业行为体的协调机制以及攻防行动的职责;二是太空部门应更加关注网络威胁情报,特别是针对黑客组织,以便更好地了解其行为和能力;三是太空部门应积极揭穿黑客组织的虚假网络行动自我归因;四是太空部门应支持太空信息共享和分析中心的发展,以全面了解威胁形势。

奇安网情局编译有关情况,供读者参考。

瑞士智库发布俄乌战争中针对太空部门网络攻击的研究报告(下篇)

(接上篇)

二、理解威胁行为者的行为

本章概述了俄乌战争中以太空部门为目标的各种黑客组织、他们的行为方式、对战场活动的影响以及他们与政府的关系。

1、黑客组织进入太空

虽然针对ViaSat的网络攻击是由国家行为者发起的,但随后的攻击主要来自黑客活动组织。在124起行动中,有116起是由黑客活动组织实施的。

瑞士智库发布俄乌战争中针对太空部门网络攻击的研究报告(下篇)

纵观这场冲突中网络行动的大局,澳大利亚威胁情报研究者CyberKnow20的威胁行为者名单和网络威胁情报工作表明,亲俄罗斯的黑客行动组织比亲乌克兰的组织数量更多。他评估称,亲乌克兰团体的数量较少,并且集中在几个非常大的团体中,例如组织良好且集中了大部分行动的“乌克兰IT军队”。CyberKnow20还评估称,与“匿名者”相关的组织通常是亲乌克兰的,他们在针对俄罗斯开展行动的同时,也出于其他动机继续攻击其他目标。

对于针对太空部门的威胁行为者和网络行动,这一评估也是正确的。该映射确定了12个亲乌克兰黑客组织和19个针对太空领域的亲俄罗斯黑客组织。俄罗斯和乌克兰政府也被认定为威胁行为者。大多数亲乌克兰攻击是由“乌克兰IT 军队”和V0g3lSec发起的。针对太空领域最活跃的亲俄罗斯组织是NoName(057)16和Killnet。“匿名者”相关组织对太空领域进行了各种攻击,其中一些是出于俄乌战争的动机,而另一些则是出于其他原因,例如以巴冲突、性别相关问题等。一些组织正在谈论在不认领攻击的情况下侵入卫星(例如,AndraxRU开玩笑说侵入NASA卫星)。

一些黑客活动组织的成员不仅是乌克兰或俄罗斯公民。有些团体由西方公民领导,例如OneFist或V0gl3Sec。许多团体将来自不同国家的个人聚集在一起,并在其Telegram频道上积极招募候选人。

瑞士智库发布俄乌战争中针对太空部门网络攻击的研究报告(下篇)

2、黑客行动主义暴露:多方面的政府关系

瑞士智库发布俄乌战争中针对太空部门网络攻击的研究报告(下篇)

威胁行为者的活动表明,人们应该超越独立运作的黑客活动团体与国家行为者间的二元区别。已识别的威胁行为者展示了黑客组织与其政府可能存在的联系程度: 

  • 大多数黑客组织似乎与他们支持的政府没有任何联系。 

  • 一些团体正在与政府协调和交换某些行动(例如“乌克兰IT军队”、Kyber Sprotyv)。

  • 有些团体不直接与政府合作,但其行为会获得官方认可任证(例如OneFist)。

  • 一些团体渴望来自政府的联系和支持,但不一定从中受益(例如Killnet)。

  • 一些团体自称是独立的,但可能是国家行为者的角色或别名(例如“俄罗斯网络军队”、乌克兰BO Team)。

国家行为者也将目标瞄准了太空部门(例如,“沙虫”瞄准了“星链”)。报告中仅列出了国家行为者进行的5次(可能是6次)行动。除非受害者或其政府公开披露,否则他们的活动很难追踪。它解释了数据集中黑客活动团体的普遍存在,因为他们经常进行自我归因攻击。

已确定的国家行为者的活动很可能只是冰山一角。国家行为者在针对太空部门的所有网络行动中所采取的行动可能比报告中所描绘的更大。例如,2024年9月,美国联邦调查局、网络安全和基础设施安全局和国家安全局透露,隶属于俄罗斯总参谋部情报总局(GRU)第161专家培训中心(第29155部队)附属的行为者至少自2020年起负责通过部署WhisperGate恶意软件等方式开展旨在“间谍、破坏和声誉损害”的网络行动。为获取信息以换取赏金,美国国务院公布了第29155部队的5名官员的姓名,他们的目标是美国关键基础设施,特别是航空航天领域。不过,美国国务院没有提供有关其行动的任何细节。这个例子说明:国家行为者对太空领域的兴趣;缺乏公开报道的国家行为者针对太空部门进行的网络行动;对太空领域的攻击数量被低估。

3、没有一个黑客组织专门针对太空系统

作为俄乌战争一部分的针对太空系统的网络攻击表明,威胁行为者不一定专门针对太空系统,而且还没有出现专门针对太空系统的组织。相反,他们中的大多数对于太空领域来说似乎相当陌生。 

这在威胁行为者的自我归因声明中得到了说明,这已成为常见做法。例如,“北极星行动”中的OneFist表示,这次攻击是该组织首次尝试侵入卫星网络,这使得“环境对他们来说是独一无二的”。OneFist强调,“卫星非常复杂,要进入它们并不容易。”此外,黑客团体有时声称他们入侵了一个特定系统(例如地面站),但实际上他们的目标是另一个系统(例如用户调制解调器),这表明他们不一定熟悉太空领域。

此外,OpenAI和微软报告称,与GRU特种服务中心第26165部队有联系的俄罗斯黑客组织FancyBear(又被称为Forest Blizzard或APT28)正在使用其大型语言模型来研究“可能与乌克兰常规军事行动有关的各种卫星和雷达技术,以及旨在支持其网络行动的一般研究,[...]表明尝试深入了解卫星能力。”然而,微软确实无法将此类研究与实际攻击联系起来。这进一步证实了报告的调查结果:国家行为者对攻击卫星有兴趣;国家行为者对卫星的攻击很难被发现;威胁行为者缺乏有关太空系统的知识。 

这表明地球上和太空中的网络安全可能存在一定的差异。然而,这并不意味着它们的干扰和破坏潜力不大。 

一旦威胁行为者更好地了解太空系统,威胁形势可能会发生变化,太空部门可能会变得更容易受到网络行动的影响。

4、黑客行动主义者的声言难以证实

开源信息进行网络威胁情报分析时,存在两个突出的问题:难以评估攻击是否真正发生并产生威胁行为者所描述的后果;难以全面了解每次攻击的步骤。

事实上,威胁行为者可能会声称发动了并未发生的攻击,或者夸大其影响。据曼迪昂特公司称,黑客活动分子针对操作系统的说法往往被夸大或未经证实,很难揭穿。据报道, OneFist和GhostSec等黑客组织被发现在乌克兰战争中撒谎或夸大其词。虽然针对太空系统的攻击并未证明这一点,但也没有证据表明某些针对太空领域的攻击是否确实发生过。任何人都可以截取用户界面的屏幕截图,并声称该截图是恶意进入网络的。同样,威胁行为者可能会使用旧的数据泄露,并将其伪装成新的行动(例如,Gorilla Circuits或Safran的泄露)。然而,这并不特定于太空领域,也适用于一般的网络威胁情报。

人们应该始终牢记自我归因中的虚假信息风险及其可能产生的负面影响。即使没有发生攻击,虚假声明也可能影响航天公司的声誉,破坏人们对卫星服务的信任,或在最终用户和政府中制造恐惧和恐慌,而这可能只是这些威胁行为者的最终目标。

虽然威胁行为者有时会详细描述他们的行动,但通常会在Twitter、Telegram频道或黑客论坛上进行自我归因,使用“模因”、笑话、习语、侮辱、各种语言(通常是英语、乌克兰语和俄语的混合)以及照片蒙太奇、目标截图,这可能会对攻击和事件顺序造成误解。

总体而言,数据集中约20%的已识别行动无法完全验证。它主要涉及最复杂的操作。此外,由于黑客活动的总规模,媒体报道往往有限,信息经常在主要来源、技术媒体和一般媒体间丢失。由于缺乏信息渠道和对太空网络安全的技术知识有限,进一步的调查受到限制。

5、产生影响可能并不那么重要

大多数已识别的行动实际上并没有针对太空系统本身,而只是针对卫星服务、网络或公司的网站(例如Killnet对“星链”的攻击和Phoenix对SES太空和防务公司的攻击)。这些行动不会影响在轨卫星,不会影响用户、行动或目标组织。因此,人们可能想知道这些攻击的目的是什么。

许多问题仍未得到解答:

  • 由于实际的太空系统本身过于复杂,需要特定的知识才能入侵,用户界面对于黑客来说是否是比较容易实现的目标?

  • 由于这些行动并非特定于太空,因此用户界面是否是目标?换句话说,它们只是对计算机的另一种攻击,而且很容易发起。

  • 由于实际的太空系统受到了良好的保护,用户界面是否会成为攻击目标?

  • DDoS攻击是否能让黑客轻易声言发起攻击并支持某项事业,而不管损害有多大?

事实上,除了与太空相关的目标之外,已识别威胁行为者发起的大多数攻击都是针对网站的DDoS攻击。似乎DDoS攻击足以引起媒体的关注,并表明对特定行为者的敌意和反应。正如曼迪昂特公司所描述的,黑客行动主义利用网络行动来传达政治或社会叙事。威胁行为者每天都会从一个目标转移到另一个目标。很少有人会长时间关注同一个行为者。

另一方面,一些行动的影响可能会在数月或数年后显现。例如,据称,针对俄罗斯目标的几次袭击导致一些组件无法使用(例如, OneFist针对Zagorskaya GAES-2和Satis卫星网络的行动),需要更换。然而,由于这些组件中的许多来自西方公司,制裁可能会阻止俄罗斯修复某些系统。同样,俄罗斯公司Special Technology Center(STC)的数据泄露暴露了该公司及其子公司如何规避制裁来采购其设备的组件,最终导致涉案实体受到制裁。

6、黑客组织行为可能与其支持的政府发生冲突

在社交媒体上,黑客经常对太空公司在冲突方面的言行做出反应。例如,当埃隆·马斯克就冲突发表意见或因乌克兰的无人机袭击而停止“星链”时,亲乌克兰黑客可能会站队并呼吁他们的社区对他(他的公司、他的个人账户等)进行报复性攻击。尽管这些黑客支持乌克兰,但他们的呼吁和行动并不总是与更广泛的政府目标一致,可能会对乌克兰的军事行动造成意外干扰。如果乌克兰团体针对埃隆·马斯克的行为或观点而将“星链”作为目标,乌克兰政府不能承受“星链”被中断的后果,因为它对于军事行动和民事活动至关重要。

在网络冲突中,政府与黑客组织间的协调很少是组织性的、线性的和层级化的。支持冲突同一方的黑客组织经常相互争斗(例如Killnet与Phoenix、Killnet与Raty等)。

此外,政府官员可能认为黑客组织的行动对于实现其目标毫无用处。一些针对太空领域的攻击就说明了这一点。例如,当Killnet针对洛克·希德马丁公司,并最终针对NASA时,俄罗斯政府强调这些行动没有多大用处,黑客应该将注意力集中在寻找前线军事装备的位置上。Killnet回应称,政府本来可以首先要求他们这样做,这凸显了当局和黑客组织间协调混乱。总体而言,国家容忍的攻击非常常见,但国家支持的攻击则较少见。

7、太空是令黑客着迷的对象

亲乌克兰和亲俄罗斯的黑客活动团体经常在 Telegram 频道或Twitter账户上谈论太空。太空似乎是黑客活动团体在集体开展的网络行动外维持与社区在线互动的众多工具之一。

在乌克兰方面,“乌克兰IT军队”有时会在其Telegram频道上分享与太空相关的消息和信息。“乌克兰IT军队”有时会分享有关太空的有趣事实,例如在国际空间站(ISS)上煮第一杯咖啡的日期。他们还定期分享有关冲突中使用太空的文章,或对前线俄罗斯方面缺乏卫星互联网能力发表评论。该频道也经常提到ViaSat黑客事件。

在俄罗斯方面,几个亲俄黑客组织经常谈论太空问题。NoName057 (16)、Killnet和“俄罗斯网络军队”等组织都发布了关于4月12日航天日的帖子,这一天是为了庆祝1961年尤里·加加林首次载人航天飞行。NoName057 (16) 有一个定期的“IT新闻文摘”,其中包括俄罗斯数字领域的新闻。其中定期包含俄罗斯航天领域的新闻。“俄罗斯网络军队”还分享与太空相关的新闻,例如美国在克里米亚上空使用地球观测卫星,或俄罗斯月球着陆器Luna-25的发射。Killnet有时分享与埃隆·马斯克和“星链”相关的新闻和照片蒙太奇,或中国人开发反太空武器的计划,有关俄罗斯国家航天集团公司的笑话。

亲俄罗斯团体有时会开玩笑说黑客入侵卫星的可能性,或争论这是否可行,但不一定采取任何行动(例如AndraxRU)。这进一步凸显了人们对太空的迷恋。黑客活动家将其视为终极挑战。

三、理解太空网络冲突的

政治和战略影响

本章讨论了乌克兰战争中针对太空领域的网络行动的政治和战略利害关系,概述了冲突在威胁形势演变中的作用及其对外太空军事化和武器化的影响。

1、针对太空系统的网络攻击在武装冲突中愈发普遍

据市场情报公司CyberInFlight称,自1970年代以来,公开记录的网络攻击只有337起,其中90起发生在2023年,仅2024年1月就有30起。这可能是一个低估数字,因为大多数攻击都没有公开披露。如果将其作为大致基础,苏黎世联邦理工学院安全研究中心(CSS)确定的与乌克兰战争有关的124起行动将构成有史以来针对太空部门的所有攻击的重要组成部分。

卫星网络攻击过去相当罕见,而武装冲突中的攻击则更少见。它们大多是干扰和欺骗(电子战),而不是入侵、拒绝服务、数据拦截、数据损坏或夺取控制权(网络战)。例如,2009年,伊拉克叛乱分子通过使用商业软件SkyGrabber拦截无人机与电信卫星间的未加密链接,成功获取美国军用无人机的实时视频。2011年,伊朗关闭了一架美国RQ-170军用无人机,方法是覆盖无人机的命令和控制系统并欺骗GPS坐标,使无人机误以为它降落在阿富汗的美国空军基地,而实际上它正在伊朗领空上空飞行

俄乌战争使得战时卫星遭受网络攻击的可能性发生了变化,原因有四:

  • 这场冲突是卫星在武装冲突中发挥的作用的一个被广泛公开记录的案例。威胁行为者,尤其是黑客组织,并不一定知道武装部队使用卫星的程度。因此,它揭示了新的有吸引力的攻击目标。

  • 冲突导致黑客行动主义的激增,同时自我归因的趋势和评价也不断上升。

  • 威胁行为者经常提到太空,这似乎既是一个令人着迷的话题,也是一个新的具有挑战性的高价值目标。

  • 所有这些都是在太空系统数字化程度不断提高以及太空技术和攻击性网络工具泛民化的背景下发生的,从而扩大了卫星的攻击面并降低了威胁行为者的进入门槛。

可以预见,针对卫星网络的网络攻击在未来的冲突中将变得更加普遍,并且黑客组织将继续对太空系统保持兴趣。

这一趋势不仅限于俄乌战争。2023年,以色列/巴勒斯坦冲突也展示了类似的模式,黑客活动分子自我定位、自我归因针对太空系统或太空公司的攻击。例如,GhostSec声称对以色列11个全球导航卫星系统(GNSS)接收器进行了网络攻击,以抗议以色列国防军的行动。同样,“匿名者苏丹”声称在10月7日后袭击了以色列的GNSS系统。

2、外层太空武器化仍是一个新现象

截至撰写本文时,似乎尚未发现任何直接针对太空部分的攻击。从一颗卫星向另一颗卫星发射的轨道网络攻击似乎也没有发生。没有发现任何网络攻击导致轨道上的卫星无法使用或将其变成太空垃圾。绝大多数攻击针对的是用户界面(76%)和用户部分(10%)。这些发现也与对航天行业利益相关者的采访一致,他们报告称,大多数网络攻击针对的是他们公司的IT环境,而不是他们的卫星。

因此,网络冲突扩展到了太空系统,但仍然局限于地球上的系统(例如用户终端、用户界面、地面站),尚未蔓延到轨道环境中的物体。然而,在许多情况下,它足以扰乱太空服务的机密性、完整性或可用性。一些行动,例如“乌克兰IT军队”对俄罗斯互联网服务提供商Astra和Altegrosky的攻击,导致用户数小时无法使用互联网宽带。Killnet对“星链”的攻击导致用户无法连接到互联网。

此次行动仅针对地球上的太空系统,这一事实往往证实,太空武器化(即在外层空间部署武器)仍是一种新兴现象。除俄乌冲突外,太空领域的网络攻击确实存在,但数量远少于其他领域。

如果外层太空武器化尚未实现,那么随着各国稳步发展反太空能力并观察太空中的敌对行为,外层太空武器化正在缓慢但稳步地增加。这些包括反卫星试验、未经宣布的机动和检查任务,试图窃听其他卫星(例如LuchOlymp )、发射发射体(例如Kosmos2523、Kosmos-2543)、开发机械臂(例如SY-7)以及部署高度机动的太空飞机(例如 X37-B)。

3、大多数网络攻击不属于联合行动

2022年2月,对ViaSat的网络攻击是地面入侵的补充,是联合协调行动的一个例子。原因在于,对ViaSat的网络攻击归咎于一个直接或间接为俄罗斯政府工作的国家行为者,从而使太空网络行动和陆地行动间能够进行潜在的协调。然而, ViaSat事件后影响太空系统的大多数网络攻击都是由与政府几乎没有联系的黑客组织进行的。

有些攻击与地面上的小事件或与俄乌战争有关的公告有关,例如武器交付(例如,“俄罗斯网络军队”针对Hensoldt)、向乌克兰提供卫星图像(例如,“俄罗斯网络军队”试图针对 ICEYE)或举办与战争有关的会议(例如,NoName针对瑞典航天局)。然而,这样的例子是有限的,而且似乎没有发现任何与陆地、海上或空中行动相协调的攻击。

然而,一些网络行动独立于陆、海或空行动,但与它们相关。例如,俄罗斯捕获Baba Yaga无人机以识别乌克兰破解“星链”软件的行为,或俄罗斯捕获乌克兰士兵的安卓平板电脑,用恶意软件感染他们以获取有关“星链”的数据,这些都是与战场行动相关但单独进行的网络行动的例子。同样,亲乌克兰组织OneFist针对Zagorskaya GAES-2 的行动(如下所述)是针对俄罗斯对乌克兰能源基础设施的动能攻击而开展的网络行动。

这种缺乏直接协调的情况往往证实了乌克兰和俄罗斯武装部队开展真正联合行动的难度。进入卫星网络并在正确的时间发动攻击需要复杂的网络攻击能力以及与其他武装部队的协调能力。此外,将各种商业系统整合到更广泛的军事网络和陆、海、空武器系统中,对武装部队来说可能是重大挑战。

4、网络行动影响在战场中的太空使用

尽管大多数网络行动独立于陆地行动进行,且后果甚微,但其中一些行动有助于塑造前线(尤其是俄罗斯方面)的太空利用方式。

在整个冲突期间,尽管俄罗斯拥有强大的主权能力,但其卫星通信(SATCOM)的使用率低于预期。战争开始时,SATCOM应该被俄罗斯军队默认使用,但由于故障和缺乏有效的能力,很快就被废弃了。例如,他们使用加密卫星电话,如Era加密电话,这种电话不知何故需要3G/4G才能运行。然而,在某些地区,俄罗斯摧毁了3G/4G塔,导致他们自己的SATCOM能力丧失。因此,俄罗斯军队被迫依赖不安全的设备,如未加密的对讲机和私人手机。数据泄露还显示,士兵们抱怨缺乏SATCOM能力以及乌克兰能够窃听他们的通信。然而,随着冲突的延长,地面系统和网络已逐渐成为默认使用。例如,乌克兰入侵库尔斯克后,针对互联网服务提供商的DDoS攻击迫使俄罗斯武装部队依赖卫星通信,从而限制了他们的通信能力。

5、一些行动针对平民目标

许多行动都是针对纯民用网站。例如NoName057(16)针对瑞典航天局网站实施的DDoS行动,以及Bloodnet针对荷兰太空研究所的行动。有些行动针对民用基础设施或组织。OneFist针对俄罗斯Zagorskaya GAES-2水电站的全球导航卫星系统(GNSS)接收器的行动就是这种情况,如下所述。

一些团体(通常是亲乌克兰的团体)正在解释其目标的军事或双重性质,从而强调他们攻击这些目标的合法性。例如BO Team针对俄罗斯远东空间水文气象科学研究中心“Planet”的攻击就是这种情况。然而,大多数亲俄行动并非如此。

以平民为目标引发了人们对此类行动合法性以及国际人道主义法在太空和网络空间的适用性的质疑。此外,它还引发了人们对各国对在大多数国家本质上属于非法的活动的容忍度以及当达到特定阈值时(例如对卫星空间部分的攻击)它们是否会作出反应的质疑。

到目前为止,还没有发现西方黑客组织针对乌克兰航天部门的先例。目前尚不清楚如果此类组织出现在威胁环境中,当局是否会容忍它。到目前为止,针对俄罗斯航天部门的西方组织是被容忍的(例如V0g3lsec)。同样,众所周知,只要黑客组织不针对俄罗斯实体,俄罗斯政府就会容忍其活动。如果出现针对俄罗斯航天部门的俄罗斯组织,当局很可能会试图将其瓦解。

6、亲俄罗斯和亲巴勒斯坦团体联手

更广泛地说,黑客行动主义团体中出现了一种新趋势。首先,几个亲俄罗斯团体建立了伙伴关系,并开始更定期地合作和协调行动。然后,在2023年10月7日后,几个亲俄黑客组织在以色列巴勒斯坦冲突中站在了亲巴勒斯坦组织一边。他们开始协调一些行动,或转发彼此针对亲以色列或亲乌克兰目标的内容。最终,这些团体决定联合起来,以增强其能力并扩大其行动的影响。例如,2024年4月,亲俄罗斯集群“Matryoshka 424”成立,旨在“团结尽可能多的来自不同活动领域的力量和人员,以保护俄罗斯及其盟友的利益。”它聚集了22名俄罗斯威胁行为者。同样,2024年6月,亲巴勒斯坦组织“10月7日联盟”成立,将36个黑客组织联合起来,以以色列为目标。2024年7月,“Matryoshka 424”和“10月7日联盟”宣布“统一力量”,共同“努力实现共同目标”。同月,“High Society”和“10月7日联盟”这两个组织将70多个黑客组织聚集在一起,宣布“决定合并我们的团队,组建一个新的团队”,称为“神圣联盟”,以北约、欧洲、乌克兰和以色列为目标。

瑞士智库发布俄乌战争中针对太空部门网络攻击的研究报告(下篇)

亲俄罗斯和亲巴勒斯坦黑客组织都各自针对太空领域展开攻击,前者专注于西方和乌克兰的太空目标,后者专注于以色列的太空领域。到目前为止,他们还没有针对太空目标进行联合网络行动。亲巴勒斯坦组织是否会参与亲俄罗斯组织针对太空目标的行动还有待观察。只有时间才能告诉我们这些黑客联盟将如何影响针对与俄乌战争有关的太空系统和组织的网络行动。

结论

建议:

  • 太空部门应建立网络缓解措施、最佳实践、与工业和商业行为体的协调机制以及防御和进攻行动的职责。

  • 太空部门应更加关注网络威胁情报(CTI),特别是针对黑客组织,以便更好地了解他们的行为和能力。

  • 如果黑客组织声称没有发生过网络行动,太空部门应该站出来揭穿虚假信息。

  • 公开的信息不足以全面了解威胁形势。应支持太空 信息共享和分析中心的发展,因为它们可以填补这一空白。

这份报告确定了俄乌战争期间针对太空领域的124起网络攻击。报告还确定了一系列不同的威胁行为者,并列出了他们的行为模式和动机。

该报告同样提供了证据,表明尽管发现的行动数量很少,但国家行为者对针对太空基础设施的持续兴趣。国家行为者开展的行动特别难以检测和绘制,因为它们是秘密进行的,很少公开归因。因此,已发现的124项网络行动可能仅占针对太空领域的整体网络活动的一小部分。很可能还有许多其他行动尚未报告和未被发现。公开的信息不足以让太空运营商全面了解威胁形势。因此,应支持诸如太空信息共享和分析中心之类的信息共享举措,这些举措将太空公司和政府机构聚集在一起,因为它们可以填补这一空白。

这对航天领域的影响很大。针对航天领域的网络威胁是前所未有的。在乌克兰战争背景下进行的网络行动数量占了所有针对航天领域的网络攻击的很大一部分。该报告还对情况进行了全面分析,并强调大多数网络攻击远没有针对ViaSat的攻击那么具有破坏性和复杂性。

更广泛地说,该报告探讨了太空如何成为俄乌战争中一些网络威胁行为者(尤其是黑客组织)的迷恋对象和主要目标。这一点很重要,因为它概述了网络威胁形势,而这个领域长期以来一直忽视网络威胁。一般来说,太空网络威胁情报(CTI)很少关注黑客组织。正如报告所示,针对太空领域的黑客组织激增,需要更好地了解这些威胁行为者、他们的动机、能力和行为,以保护太空基础设施。

这些行为者还将新的公共交流形式带入了这个非常隐秘、很少公开承认攻击的领域。报告指出,大多数攻击都是自我归因。然而,许多行动无法通过公开信息进行核实。一些团体可能还夸大了他们的说法,或者公然撒谎。因此,如果黑客组织声称进行的网络行动并未发生,太空部门应该站出来揭穿虚假信息。否则,这些虚假行动可能会引起媒体毫无意义的关注,引起不必要的恐慌,并破坏人们对太空服务的信任。同时,沟通应该保持平衡、冷静、及时和非政治化,以避免升级或吸引更多恶意行为者。对每一次攻击都做出不成比例的反应将适得其反,正如俄罗斯国家航天集团的案例所表明的那样。

此外,本报告发现的入侵太空系统事件表明,许多组织和系统没有得到很好的保护,因此很容易被不成熟的操作所渗透。这凸显了太空公司需要意识到自己在战争时期的重要性,并认真对待其网络安全态势。一次针对卫星网络的成功行动可能会迅速导致跨部门和跨用户的连锁反应。更广泛地说,该报告表明太空尚未通过网络手段武器化。大多数针对太空部门的网络攻击都针对太空组织的IT环境以及太空系统的用户或地面部分。轨道上的航天器并不是网络攻击的直接目标。针对地球上的太空系统足以阻止最终用户多次使用太空能力。因此,网络冲突扩展到太空系统,但仍然局限于地球上的系统。

这表明外层太空武器化仍是一种新兴现象。然而,各国对此越来越感到担忧,它们观察到敌对行动、窃听企图、反太空能力发展以及进攻性太空和网络能力的增加。网络攻击工具是有吸引力的反太空武器,因为它们提供了合理的可推诿性、环境独立性和威胁行为者的低进入门槛。因此,各国应通过建立网络缓解措施、最佳实践、与工业和商业行为者的协调机制以及防御和进攻行动的责任来为这种可能性做好准备。

苏黎世联邦理工学院安全研究中心(CSS)未来在该领域的研究将通过考察以色列-巴勒斯坦冲突等其他冲突来探索俄乌战争如何成为太空网络威胁形势的代表性案例,这些冲突似乎具有针对太空领域的黑客活动模式。

网络空间安全军民融合创新中心

奇安信集团网络空间安全军民融合创新中心,作为军地沟通、军地协同的网络空间安全产业发展平台,聚焦网络空间国防安全领域,探索建立网络国防安全建设创新发展模式,致力于打造网络空间安全领域的民间智库。

瑞士智库发布俄乌战争中针对太空部门网络攻击的研究报告(下篇)

原文始发于微信公众号(网络空间安全军民融合创新中心):瑞士智库发布俄乌战争中针对太空部门网络攻击的研究报告(下篇)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月22日20:03:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   瑞士智库发布俄乌战争中针对太空部门网络攻击的研究报告(下篇)https://cn-sec.com/archives/3425792.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息