概述
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
该组织声称,此次攻击导致船上和船岸(卫星通信)通信中断。Cydome 的海事网络研究团队刚刚发表了一份关于 Lab Dookhtegan 对伊朗油轮发动的网络攻击的分析,该攻击声称扰乱了116 艘油轮的运营。据说这些油轮属于两家与政府有关联的伊朗公司,据称违反了国际制裁。该组织声称,这次攻击阻止了船上和船岸 (Satcom) 的通信。
Cydome 在其周三的博客文章中表示: “在最近的这次攻击中,Lab Dookhtegan在其 Telegram 频道上声称,他们成功完全破坏了伊朗国有公司 116 艘油轮的外部和内部通信。” “该黑客组织声称,这次行动成功完全破坏了船只的外部连接(船对岸)以及船上船员之间的内部通信。”
到目前为止,还没有关于这次袭击或其结果的更多证据。报告基于该组织之前的可信度。
研究人员指出,虽然 Dookhtegan 实验室尚未公开披露所使用的具体战术、技术和程序 (TTP),但开源报告表明该组织可能利用了这些船只所依赖的海事卫星通信系统中的漏洞。
研究人员表示:“船舶使用双向 VSAT(甚小孔径终端)卫星设备进行外部连接。众所周知,通信设备是网络攻击的常见目标,网络设备漏洞经常被公布。之前的一项研究甚至表明,攻击者可以使用 Shodan(设备搜索引擎)找到船舶卫星终端,并使用出厂密码远程入侵它们,从而获得更改系统设置甚至上传恶意固件的能力。”
他们还发现, Lab Dookhtegan 可能利用了类似的弱点。“从该组织提供的信息来看,他们似乎能够完全控制通信系统,拥有提升的凭证、对船舶网络的完全访问权限以及远程执行恶意代码的能力。”
该组织似乎利用这种高级访问权限执行数据破坏操作,以破坏通信,从而使船只“离线”。
Cydome 研究人员表示: “恶意软件或恶意指令同时发送给 116 艘船只,表明此次攻击具有高度的自动化和协调性。”“网络安全分析师指出,同步击落数十种分布式海上资产需要高级能力,可能包括事先侦察舰队的 IT/OT 基础设施和针对通信系统量身定制的漏洞利用程序。”该组织还暗示与“敌人的敌人”合作。
通信设备是海上船舶的瓶颈。虽然现代通信设备可以连接到多个卫星(和地面,例如 4/5G)连接服务以实现冗余,但很少有设备专为网络弹性而设计,在许多情况下,网络保护甚至嵌入在通信设备中。这使得船舶的通信设备成为单点故障,如果恶意行为者入侵通信设备(VSAT 或其他),它可以完全控制船舶的所有通信,甚至蔓延到 IT 和 OT(运营技术)系统。
Cydome认为,这次引人注目的攻击所带来的影响远远超出了伊朗。“它强调,海上资产——从油轮和集装箱船到海上平台——现在都是网络战的坚定目标。它还强调了对先进网络保护的需求,这种保护将增强船舶对网络攻击的抵御能力,而无需依赖外部连接,并且完全独立于通信系统。”
他们补充道,从更广泛的角度来看,此次大规模、覆盖全船队的 Lab Dookhtegan 网络攻击与最近发布的其他威胁情报信息相结合,显示出针对海运公司和船舶的高度针对性攻击有所增加(例如,专注于航运公司的Sidewinder 组织和其他针对海运公司和船员的高度针对性网络钓鱼攻击的报告)。
随着威胁级别的上升,Cydome 建议航运公司进行全面的风险评估,并安装独立于通信设备并保护所有外部和内部网络流量的专用海事网络安全解决方案。他们还必须进行例行漏洞扫描(年度扫描频率太低,无法提供适当的保护),确保解决高风险和关键风险;并进行桌面演习以培训 IT 和执行团队并发现网络准备方面的任何差距。
Lab Dookhtegan 是一个伊朗反政府黑客组织,成立于 2019 年左右,宣布开展旨在破坏伊朗政府网络行动的行动。Lab Dookhtegan 这个名字在波斯语中的字面意思是“缝嘴唇”或“紧闭的嘴唇”。过去,该组织与“人肉搜索”(公开揭露)伊朗精英网络间谍单位有关,显然是为了破坏这些网络间谍活动。
在最近的这次攻击中,Lab Dookhtegan 在其 Telegram 频道上声称,他们成功完全破坏了伊朗国有公司 116 艘油轮的外部和内部通信。该黑客组织声称,此次行动成功完全破坏了船舶的外部连接(船对岸)以及船员之间的船上内部通信。
攻击方法
虽然 Dookhtegan 实验室尚未公开披露所使用的具体战术、技术和程序 (TTP),但开源报告表明该组织可能利用了这些船只所依赖的海事卫星通信系统中的漏洞。
船舶使用双向 VSAT(甚小孔径终端)卫星设备进行外部连接。众所周知,通信设备是网络攻击的常见目标,网络设备中的漏洞经常被公布。一项先前的研究甚至表明,攻击者可以使用 Shodan(设备搜索引擎)找到船舶卫星终端,并使用出厂设置的密码远程攻击它们,从而获得更改系统设置甚至上传恶意固件的能力。
Dookhtegan 实验室可以利用类似的弱点。从该组织提供的信息来看,他们似乎能够完全控制通信系统,拥有提升的凭证、对船舶网络的完全访问权限以及远程执行恶意代码的能力:
来源:Lab Dookhtegan Telegram
该组织利用这种提升的访问权限,似乎执行了旨在破坏通信的数据破坏操作,使船只“离线”:
来源:Lab Dookhtegan Telegram
恶意软件或恶意指令同时发送给 116 艘船只,表明此次攻击的自动化程度和协调性很高。网络安全分析师指出,同步击落数十艘分布式海上资产需要先进的能力,可能包括事先侦察舰队的 IT/OT 基础设施和针对通信系统量身定制的漏洞利用。该组织还暗示与“敌人的敌人”合作。
来自卫星黑客公众号分析
通过对公开的电脑截图进行分析发现,该VSAT终端进程中存在较多的falcon进程。根据我们研究经验,结合falcon进程为iDirect品牌卫星调制解调器的主要进程这一特性,以及网卡MAC地址查询结果与iDirect公司相符,再考虑到嵌入式系统版本信息Linux iDirect 2.6.35与iDirect公司产品的典型特征相匹配,综合以上多方面证据,我们充分确定该卫星通信设备为iDirect公司的卫星调制解调器产品。
iDirect X7卫星调制解调器该品牌隶属于美国卫星通信行业巨头STE公司(ST Engineering iDirect),该公司提供政府及军用卫星通信产品,产品类型包括Direct调制解调器、集线器和卫星通信解决方案,主要服务于服务商、网络运营商、政府机构、大型企业、军队等客户。其卫星调制解调器产品主要分为:iQ系列、Evolution系列、Evolution Defense系列、Velocity系列、MDM系列、9系列等,其Evolution系列(现已退役)曾是卫星通信场景中“星状网”的典型代表机型。包括型号:Evolution X3、Evolution X5、Evolution X7系列在海事上有着广泛的应用,据已知信息获知,我国目前仍有大量Evolution系列的设备正在服役。
根据以上信息分析我们得出结论,该攻击组织采用互联网搜索工具(shodan)对暴露在互联网上的iDirect终端进行扫描和测绘,并获取了终端root权限,编写自动攻击脚本,利用终端自带的dd指令对终端存储器进行了擦除,从而破坏了终端系统,造成无法正常工作。若要恢复正常状态,需重新对终端进行固件的刷写以及卫星通信的参数配置,这在一定程度上与Viasat遭遇的网络攻击技术类似。初步推测该组织获取root权限的方式为弱口令登录。iDirect系列调制解调器通常存在默认口令(root,P@55w0rd!),一般用户不会主动修改该密码导致默认口令的风险存在。另一方面,系统版本的陈旧也增加了较大风险,从截图中可以看到,系统为2020年版本,OpenSSH等关键服务版本老旧,主要由于设备厂商较少提供系统更新服务导致。
攻击影响
据我们的经验分析,该攻击会导致船只卫星通信的失效,但不会导致船只停运、停航等情况。船载VSAT系统终端较多用于互联网应用,如船员上网,与总部通信等,但不会严重影响运输业务,任务将会提前下发且有的船上会存在其它备份通信设备如卫星电话。Lab Dookhtegan公开的截图显示了一定数量的海上船只分布位置,以体现攻击所达到的严重效果。
近几年俄乌冲突背景下,发生了几起安全事件,凸显了VSAT系统中严重的安全问题。
(1)美国卫星互联网服务提供商ViaSat被攻击。攻击者在多个住宅调制解调器上执行了“合法的、定向的管理命令”,从而使他们能够下载AcidRain擦除型恶意软件。进一步的开源调查认为,一种已知的Fortinet漏洞在攻击中发挥了关键作用。攻击者利用该漏洞在卫星网络内进行横向移动,最终利用设备内置的更新机制来部署恶意软件。
(2)俄罗斯卫星ISP Dozor-Teleport被攻击。Dozor-Teleport拥有重要的上游连接,服务对象包括电力线路、油田、俄罗斯军队、北方舰队的舰船、核电站以及俄罗斯联邦安全局,因此此次攻击很可能是针对性攻击。Dozor-Teleport官方将云基础设施列为可能的攻击向量。此次攻击导致该ISP的卫星终端设备故障,并使攻击者能够窃取内部数据。
(3)Starlink在俄乌战争中发挥了关键作用。据报道,俄罗斯一直试图禁用或至少降低Starlink的可靠性,方法包括干扰乌克兰的Starlink终端。Starlink的下行链路信号结构已被公开逆向工程分析。
VSAT 网络的负载流量与指挥与控制(command and control, C2)流量是分开的,后者是维持 VSAT 网络安全性的关键。目前已有的研究主要集中在易于分析的负载流量(即 VSAT 传输的互联网数据),但这一部分的安全性与 VSAT 网络本身的安全性关系不大。
一旦 C2 流量的完整性受到破坏,整个 VSAT 网络都可能面临巨大风险。 由于缺乏公开的安全分析和文档,难以评估 VSAT 系统的真实安全状况。
虽然现有的安全框架(如 SPARTA 和 ESA 的 SpaceShield)可以事后对已知事件进行建模,但它们的泛用性较强,很难提前针对某一特定系统识别潜在威胁。
特别是,这些框架未能充分考虑 VSAT 网络的内部特性,例如它们的高恢复性需求(由于地理位置偏远)以及配置的变化性(部分配置可能是临时的,部分是持久性的)。
J. Willbold等人提出了VSAT系统的威胁分析模型。Willbold J, et al. VSAsTer: Uncovering Inherent Security Issues in Current VSAT System Practices[C]//Proceedings of the 17th ACM Conference on Security and Privacy in Wireless and Mobile Networks. 2024: 288-299.
(1)攻击者目标
(2)安全目标
(3)生命周期
调试阶段:终端首次加入网络,生成波束表并获得唯一证书,用于身份验证,配置通常不变。
初始化阶段:提供波动性和临时配置,如共享密钥和网络地址,确保终端正常运行。
操作阶段:(1)服务操作:终端的最终任务是接收网络流量,也是目前大多数研究论文专注的内容。(2)服务控制:为了持续提供服务操作,中心站定期向终端发送服务控制信息,包括QoS监控、自适应编码调制、高精度时间同步等。
维护阶段:执行软件/固件更新和持久性配置管理,保证系统长期有效。
恢复阶段:在故障或攻击后,终端自动恢复到可连接状态,无需物理干预,确保系统的恢复能力。(研究发现,当前的终端实现无法从针对终端恢复能力的安全事件中恢复。)
(4)基于阶段的威胁分析模型
上图展示了基于安全目标分析的,生命周期各个阶段可能受到的攻击。其中,重点引入了接口分类方案。如果某个阶段的流量没有完整性保护,那么该接口被认为是开放的,这构成了可信下行链路的漏洞。开放接口意味着任何攻击者都可以访问该阶段的流量。受保护接口需要特定的攻击者模型。例如,初始化接口需要半特权攻击者,即必须能够访问初始化流量的相关服务。
(5)攻击者模型
链路攻击者:①可能站在受害者终端附近,或利用无人机进行攻击。使用软件定义无线电(SDR)发射恶意信号或网络数据包,让终端误以为这些数据来自真实的VSAT网络。②攻击者伪装成VSAT中心站(类似于移动网络安全中的伪基站攻击)。需要拦截并篡改终端与卫星之间的通信,或者在真实的VSAT中心站附近架设完整的地面站,实现流量劫持。
中心站攻击者:半特权攻击者通过传统的网络攻击入侵中心站。攻击者获得对中心站部分服务的控制权,但无法修改持久性配置。这种攻击者可影响初始化和服务控制阶段的流量,因为这些阶段的配置在设备重启后会被恢复。可能通过进一步利用其他阶段的漏洞来提升权限。 特权攻击者完全控制VSAT中心站的所有服务,掌握所有加密材料及网络技术细节。可攻击所有阶段,唯一的例外是恢复阶段。尽管该攻击者可以推送配置更新和软件更新,但设计良好的恢复机制应该可以抵御此类攻击。
论文中对两个 VSAT 系统(iDirect和Viasat)进行了实验性的安全评估,以探究其攻击面。提取并分析终端的软件。手动逆向工程与 VSAT 网络处理相关的应用程序。
实验1:iDirect MDM-Series技术描述:
(1)初始化阶段:终端使用在调试过程中生成的私有 RSA 密钥,解密两个会话密钥,用于互联网通信和C2通信。
(2)服务运行阶段,终端采用增强型 TCP(ETCP)协议。终端的互联网通信使用相应的密钥进行加密。
(3)服务控制阶段:发送时序数据包,用于在中心站和终端之间精确同步时间。通过数据包调整编码和调制参数。确定终端应如何在多个信道之间分配流量。
(4)维护阶段:中心站会持续发送更新信令数据包,终端必须监听该地址,以接收最新的软件镜像。所有软件镜像会被永久性、重复性地广播,称之为lifeline。进行持久化配置,使用自定义协议进行,数据序列化采用Google 的 protobuf 格式。
(5)恢复阶段:终端会检测软件镜像是否损坏,若损坏,终端会尝试通过lifeline重新获取完整的软件镜像。然而所有恢复机制都可以被 root 访问权限修改。
安全分析:
(1)可信下行链路:即使终端接收到用于 C2通信的有效密钥,C2 流量通常不会进行加密或认证。因此,任何发送或接收 C2 流量的应用程序必须各自实现加密保护。然而,只有负责配置消息的应用程序实现了加密。软件更新数据包没有加密保护,这使得攻击者可以利用受信任的下行链路,在维护接口上广播任意的软件更新,从而导致终端入侵漏洞。此外,服务控制阶段的所有消息均未受保护。
(2)内存破坏:该软件缺乏现代软件安全防护措施,例如地址空间布局随机化或栈保护。此外,该软件广泛使用了一些不推荐的 C 语言函数(如 strcpy 或 sprintf)。发现了两个内存破坏漏洞,分别位于更新信令过程和软件镜像写入 Flash 存储的工具中。值得注意的是,恢复代码未被隔离,且可以被特权用户修改,这使得MDM 系列调制解调器面临恢复数据被清除的风险。
(3)加密绕过:虽然配置消息协议是加密的,但可以绕过该加密。调制解调器在处理数据包时,如果特定的头字段被设置为零,则会以明文处理该数据包。通过逆向工程分析,确定该头字段是一个数据包计数器,其中第一包(计数器为零)是不加密的。从而允许攻击者发送任意未加密的数据包。这最终导致了中间人攻击(AitM)的建立漏洞。
(4)弱加密:配置消息使用电子密码本(ECB)模式,这允许攻击者随意重新排列、添加、删除和重放数据块。由于攻击者可以接收到类似的消息,因此可以合理地假设他们对这些消息的明文有所了解。这使得攻击者能够重放旧配置,即使加密被强制执行,也可以导致事件响应被抑制。
实验2:ViaSat Surfbeam对 ViaSat 的 Surfbeam 2 系统进行了评估,该系统曾在乌克兰的 ViaSat 事件中遭到攻击。ViaSat 向政府提供卫星系统,包括为美国及其他国家军方提供战术产品。ViaSat 还提供多种类别的服务,例如海事应用、机载互联网以及消费级应用。
技术描述:
(1)服务运行阶段:该阶段用于与 VSAT 卫星中心交换互联网流量,并通过 DOCSIS MAC 安全层进行加密和认证。
(2)服务控制层:用于同步时钟、调整频率偏移和功率水平等功能。
(3)维护阶段:使用 CPE WAN 管理协议(CWMP)交换配置消息并执行软件更新。更新可通过至少四种不同的方法下载:FTP、使用 wget 的脚本,以及两种 CWMP 客户端方式。下载后的镜像文件会使用存储在终端上的密钥解密,然后安装。
(4)恢复阶段:包括一个独立的镜像下载机制,称为“lifeline”。
安全分析:
(1)服务地址篡改:在终端的初始化阶段,半特权攻击者可以发送 DHCP 消息,这些消息用于终端启动时的临时配置。DHCP 允许使用厂商特定选项来指定服务地址,例如 CWMP 服务器或 FTP 服务器的 URL。因此,攻击者可以通过单个 DHCP 消息,将这些服务地址更改为自己控制的地址,从而建立中间人(AitM)攻击。
(2)缺少服务认证:FTP 和 CWMP 客户端不会验证目标 URL 是否位于 VSAT 运营的中心站或网络范围内。此外,服务器也不会对客户端进行身份认证,这意味着攻击者可以建立一个伪造的 FTP 或 CWMP 服务器,并让终端指向该伪造服务器。
(3)更新解密绕过:默认情况下,固件更新的解密仅针对特定系统厂商执行,但这一过程可以被一个特定名称的空文件覆盖。而对于其他厂商,终端会检查另一个文件,以强制执行解密。攻击者只需删除该文件,就可以禁用固件加密。
(4)共享恢复资源:由于恢复过程依赖于与正常系统相同的二进制文件和操作系统,因此一旦攻击者成功入侵终端,他们就可以随意破坏恢复机制。
不安全的VSAT设计
(1)问题信任层级:即使强制执行了服务器身份验证,攻击者仍然可以通过入侵维护服务,在整个网络中分发恶意更新,从而影响所有终端设备。威胁分类法捕捉到了这一点,因为管理接口访问直接导致终端入侵。这表明,所有终端必须完全信任中心。一个可能的解决方案是去中心化的方法。
(2)固有缺陷的恢复机制:提出的威胁分类法强调了恢复阶段的重要性。理想情况下,系统应当能够检测某个软件更新或配置是否允许网络连接,并在无法建立连接时回滚至先前的软件镜像或配置。目前的研究虽然探讨了如何识别有缺陷的软件更新,但并未考虑恶意更新。
(3)非直观的网络设计:在 ViaSat实验中,攻击者仅需发送一个DHCP数据包,即可获得分发恶意软件更新的能力。这一问题的根源在于该数据包混合了临时配置和通常是持久性的配置(如 FTP和CWMP服务器的URL)。这种不同类型配置的混合最终导致了中间人攻击(AitM)。
为了应对 SCS 面临的各种威胁,已经开发出一系列对策来保护机密性、可用性和完整性。在机密性方面,波束成形、添加人工噪声和利用光通信等技术增强了防窃听的安全性。包括量子密钥分发在内的加密方法为安全通信提供了基础层。为了确保可用性,抗干扰策略采用基于博弈论和过滤的方法,而 DoS/DDoS 缓解则利用区块链技术、安全路由、基于 SDN 的解决方案和协作防御来保护网络基础设施。在完整性方面,反欺骗措施分析物理参数,利用硬件相关分析,并应用加密技术来检测和缓解欺骗攻击。
甚小孔径终端 (VSAT) 彻底改变了海上作业。然而,人们对海上 VSAT 服务的安全层面了解甚少。从历史上看,高昂的设备成本一直是研究人员和攻击者的进入壁垒。
在本文中,我们展示了威胁模型的重大变化,证明了使用不到 400 美元的广泛使用的电视设备对海上 VSAT 网络进行实际攻击。这是通过 GSExtract 实现的,GSExtract 是一种专用取证工具,可以从高度损坏的 VSAT 数据流中提取 IP 流量。
通过分析超过 1.3 TB 的真实世界海上 VSAT 记录(覆盖 2600 万平方公里的覆盖区域),对这种威胁的影响进行了实验评估。这些系统中使用的底层网络平台代表了全球 60% 以上的海上 VSAT 服务市场。
我们发现,一些世界上最大的海运公司的敏感数据经常通过 VSAT 船对岸通信泄露。通过从拦截和篡改航海图到窃取护照和信用卡详细信息等案例研究,我们详细阐述了这一威胁。除此之外,我们还展示了在某些网络配置下任意拦截和修改 TCP 会话的能力,从而能够对海上船舶进行中间人和拒绝服务攻击。本文最后简要讨论了 VSAT 环境中加密的独特要求和挑战。
海事 VSAT 网络的典型数据流。图中的攻击者可以窃听第 6 步中的流量,但对其他所有阶段的流量的可视性有限。
A、实验开始
虽然提供 VSAl 服务的卫星位置已广为人知,但具体使用的频率却不为人所知。为了识别频率,攻击者必须扫描卫星无线电发射的 RF 频谱以查找频道,然后确定哪些频道用于 VSAT 服务(见图4)。在本次实验中,我们在两个地球静止平台上共识别出 15 个 VSAT 流,主要基于信号调制设置(例如 32-APSK)和在原始信号记录中检测到的字符串。
B. 数据提取和信号解释
我们研究中的两个目标海上 VSAT 运营商都采用了现代协议栈,该协议栈将较新的 DVB-S2 标准(2005 年正式确定,以取代原来的 1995 年 DVB-S 标准)与自适应编码和调制 (ACM) 相结合。使用欧洲电信标准协会于 2007 年首次提出的通用流封装 (GSE) 协议,数据进一步封装到通用连续流中 。图 5中可以找到此封装方法的概述。
与较旧的多协议封装 (MPE) 流不同,据我们所知,目前还没有公开可用的软件可以接收和解释这种格式的卫星数据馈送。因此,我们开发了GSExtract,这是一组 Python 实用程序,允许从 GSE 连续流的原始记录中提取任意 IP 数据。对于海事 VSAT 服务中最常用的馈送,GSExtract 允许攻击者使用质量相对较低的卫星电视设备可靠地解释大量广播数据。
组成海事 VSAT 流的协议层的简化概述。
图 6:给定流中的 GSE 数据包的可恢复程度。流 4 的吞吐量明显低于其他流,因此将其纳入以评估 GSExtract 在较低带宽环境下的性能。
值得一提的是,GSExtract 不仅仅是 DVB-S2 和 GSE 标准的简单实现。相反,该实用程序利用了关于海事 VSAT 实现的几个假设,以便在频繁出现信号处理故障的情况下恢复任意 IP 数据包。这些假设和 GSExtract 的技术实现的详细描述可在附录 A中找到。由于这些假设,GSExtract 不适合用作操作海事 VSAT 互联网服务的实用程序,但它作为取证工具表现良好。所采用的两个核心策略是使用已知有效的 MATYPE 标头作为损坏流内重新同步的“依据”,以及在无线电接收器错过数据片段时智能填充内部有效载荷数据以构造有效数据包。
C. 收集和取证性能
为了对 GSExtract 的性能进行初步评估,我们选择在我们位于欧洲的研究地点记录信号最强、最可靠(信噪比所示)的两颗目标卫星上的两个转发器 24 小时的数据。总计 96 小时的海上交通记录和大约 300 GB 的重建数据包捕获。如第 IV-A 节所预期的那样,使用消费级硬件制作的记录并不完美,数据丢失严重。GSExtract 与 TBS-6903 卡制作的原始 DVB-S 基带帧记录进行交互,因为没有发现任何软件能够处理损坏记录中的更高层。尽管如此,GSExtract 能够提取目标流中包含的 40-60% 的 GSE PDU,并部分恢复另外 10-25% 的损坏 PDU(图 6)。
图 7:使用 GSExtract 成功重建的 IP 有效负载字节的总体比例。这些指标仅适用于成功识别的 IP 数据包头,不适用于在信号处理阶段丢失的“不可恢复”的 GSE 数据包(见图 6)。
使用 GSExtract 成功重建 IP 有效负载字节的总体比例。这些指标仅适用于成功识别的 IP 数据包头,不适用于信号处理阶段丢失的“不可恢复”GSE 数据包(见图6)。
我们缺乏有关传输的互联网流量的实际情况,因此很难确定所使用的硬件成功拾取了多少比例的 VSAT 馈送。但是,可以根据 GSExtract 注入恢复的捕获的填充字节数得出代理指标。如果大量 IP 数据包被损坏,则预计 GSExtract 将在重建部分 IP 有效载荷时向结果 .pcap 文件中注入相应大量的字节。如果大多数 IP 数据包成功恢复,GSExtract 将不会添加太多额外字节。该指标表明,在 IP 数据包级别,GSExtract 平均恢复了任何给定 IP 有效载荷的约 92%。但是,就总体数据量而言,我们估计 GSExtract 能够重建给定频率上传输的 60% 到 85% 的字节(图 7)。性能大致与信号质量相关,使用 GSExtract 时,质量最低的数据信号也显示出更高的数据损坏率。性能测量中的额外差异可能是由于每个信号的特定网络属性和行为(例如用于视频流与网页浏览)所致。
图 8:GSExtract 无法恢复的特定 IP 数据包的平均百分比。随着 IP 数据包变得越来越大,尤其是超过 1.4kb 左右,由于信号处理阶段丢失了碎片,GSExtract 的成功率会降低。
GSExtract 无法恢复的特定 IP 数据包的平均百分比。随着 IP 数据包变得越来越大,尤其是超过 1.4kb 左右,由于信号处理阶段丢失了片段,GSExtract 的成功率会降低。
数据包与字节的平均恢复率之间的差异是由于 GSE 中使用了碎片。具体来说,GSExtract 最有可能恢复的 IP 数据包是较小的数据包,可以在单个 BBFrame 内完整传输。这个大小通常每分钟都在变化,取决于网络流量状况。然而,一般来说,随着 IP 数据包变大,碎片的概率也会增加。IP 数据包碎片越多,信号硬件越有可能无法拾取其中一个碎片。这种关系的强度可以在图 8中观察到。
图 9:有无 GSExtract 的 PDU 恢复的数据包丢失比较。实线表示采用 GSExtract 的基本重新同步策略但没有其他取证技术的简单解码器。虚线表示 GSExtract 的性能,仅指示那些无法部分恢复的数据包。
有无 GSExtract 的 PDU 恢复的数据包丢失情况比较。实线表示采用 GSExtract 的基本重新同步策略但没有其他取证技术的简单解码器。虚线表示 GSExtract 的性能,仅指示那些无法部分恢复的数据包。
然而,即使在碎片化数据包的情况下,GSExtract 通常也能够识别和恢复丢失的有效载荷的很大一部分。虽然没有最先进的技术可供比较,但人们会认为,在碎片化程度较高的情况下,简单的解码器的错误率会更高。相比之下,GSExtract 打破了这种正相关性,无论碎片化率如何,都能实现可靠的部分恢复率(图 9)。即使在高度碎片化和不可靠的流中,GSExtract 也能成功识别并部分重建 84% 到 92% 的已接收 GSE PDU。本质上,GSExtract“利用”了卫星硬件成功解调的绝大多数流量。只有在卫星硬件未收到 IP 报头本身的情况下,有效载荷才完全“无法恢复”(见图6)。
D. 额外的实验收集
除了最初的四个实验性反馈之外,我们还记录了每个服务提供商连续一周的流量。这样做是为了支持对一段时间内的流量模式和行为进行更深入的测量。总的来说,这提供了大约 1.3 TB 的数据和超过 5 亿条 DVBS-2 消息供分析。
除了存储成本之外,攻击者使用此方法记录数据的能力没有实际限制。即使在信号完全中断或丢失的情况下(例如在恶劣天气的情况下),GSExtract 也能够自动重建和恢复对损坏的 GSE 数据流的分析。虽然超出了本次安全分析的范围,但 GSExtact 可能非常适合对海洋生态系统内的交通趋势进行数月的纵向测量研究。此外,虽然单个卫星天线一次只能调谐到一个频道(对可收集的数据量构成了实际限制),但通过同时使用多个天线可以捕获更多的数据。出售给国家安全部门的 VSAT 专用信号情报 (SIGINT) 收集平台可能也具备这种能力,尽管其成本远远超出了我们提出的威胁模型[34]的范围。
威胁模型
本次实验的重点是复杂程度相对较低的威胁行为者。除了上述假设(攻击者的资源受限于消费级设备)之外,我们还假设攻击者无法直接干扰卫星网络本身的运行。也就是说,攻击者对于卫星信号是被动的,无法直接注入、欺骗或中断无线电发射。考虑到主动攻击者的可能性,未来的实验可能会很有价值,但在现实世界的海上 VSAT 网络中很难安全合法地进行。
虽然我们的威胁模型假设攻击者在卫星环境中是被动的,但我们赋予攻击者对互联网连接系统进行主动攻击的能力。例如,如果攻击者在卫星馈送中观察到机密信息,我们会考虑如何滥用这些信息来影响可公开路由的海上平台。
我们的威胁模型没有关注攻击者的任何特定操作动机,除了诚实但好奇的观察者。然而,正如第二部分所提到的,人们对犯罪分子、海盗和恐怖分子对关键海事系统构成的威胁提出了重大担忧。在整篇论文中,我们注意到与这些特定威胁直观相关的发现。
图 10:在所有收集到的 VSAT 信号中观察到的 20 种最常见的协议。请注意,会话以对数刻度计数。
一般发现
我们研究中的所有四个海事 VSAT 网络似乎均未默认应用加密。此外,对另外 11 个 VSAT 网络流进行粗略审查后,未发现任何完全加密的海事 VSAT 服务。虽然我们无法确定所选提供商在多大程度上代表了全球 VSAT 行业,尤其是考虑到我们的地理重点是欧洲和北大西洋,但这表明使用 GSE 传输的大部分海事 VSAT 信号保护不足。鉴于这些网络中使用的底层路由设备占全球海事 VSAT 市场的 60% 以上,并被十大 VSAT 提供商中的 8 家使用,我们预计有关这些网络的发现对该行业具有广泛的适用性[46]。此外,我们研究中的一颗卫星是在过去 3 年内发射的,这表明这些发现不仅仅代表了遗留系统中的安全问题。
A. 应用程序和协议
图 10概述了我们在记录中识别的主要协议。在某种程度上,通过海事 VSAT 网络传输的流量与任何其他 ISP 观察到的流量相似。例如,船员和乘客使用海事 VSAT 终端进行一般网页浏览、媒体流和个人通信。当然,攻击者很少能占据 ISP 级窃听者的有利位置,尤其是在数百万平方公里的覆盖范围内。
表 II: 选定应用的频率细分
然而,海事网络的使用和运营存在一些重要差异。海事 VSAT 服务作为内部业务技术基础设施以及与更广泛互联网的外部连接的组成部分出售。因此,海事 VSAT 流量不仅包括对互联网服务的一般访问,还包括内部业务通信。传统的设计和保护业务网络的方法,例如,通过保护业务 LAN 和互联网之间的边界,可能不容易转化为 VSAT 架构。
通过对比用于访问卫星网络内部和外部 IP 地址的协议,可以证明这种差异的影响(图 11)。我们观察到,当两个参与者都位于 VSAT 网络的“本地”时,非加密协议(如 HTTP 和明文 POP3,而不是 HTTPS 或带 TLS 的 POP)的使用率要比其中一个参与者位于卫星环境外部时高得多。这可能表明,海事运营商认为 VSAT 网络的运行方式类似于企业 LAN 环境,并且没有意识到这些网络可能会受到无线窃听。
更广泛地说,海事网络与陆地网络的不同之处在于,通信在海事环境中具有多种独特的功能用途。数千种专门用于实现各种船舶组件的远程监控和操作的应用程序依靠海事 VSAT 网络与陆地办公室或船队中的其他船舶进行通信。鉴于这种技术多样性,很难准确描述哪些捕获的流量属于哪些应用程序。但是,表 II概述了 GSExtract 捕获中观察到的一些常见海事和陆地应用程序功能。有关具体服务的更详细案例研究可参见第 VII和VIII节。
B. 主人和船只
尽管先前的研究表明,大型海运组织比小型海运组织对其网络安全控制更有信心,但我们观察到敏感数据不仅来自小型船队,还来自一些世界上最重要的海运运营商[29]。其中包括三家《财富》全球 500 强企业和至少六家上市公司,总年收入超过 7000 亿美元[19]。仅在货运领域,我们观察到来自这些组织的敏感流量,这些组织的合计占全球海运总量的三分之一以上。
图 11:- 根据会话是否包含在本地 IP 范围内或是否延伸到全球可寻址 IP,比较使用未加密协议与加密替代方案的会话比率。在“内部”VSAT 流量中观察到对未加密协议的偏好更高。请注意,此比率以对数刻度表示。
总的来说,GSExtract 识别出 9,000 多个属于 VSAT 网络的不同主机,这些主机在记录窗口期间参与了 50 次或更多会话。超过 4,000 个主机参与了至少 500 次会话,超过 400 个主机拥有可公开访问的 IP 地址。尽管船舶偶尔可能配备多个 VSAT 终端,但这些数字表明我们的交通记录中包含了数千艘不同的船舶。由于开销和延迟问题,以及卫星通信的一般广播性质,VSAT 网络通常依赖于静态 IP 地址分配(而不是 DHCP)。因此,IP 地址大致映射到物理主机路由器或设备。
由于每艘船都搭载了不同的技术,因此完全自动根据互联网流量识别船只几乎是不可能的。但是,攻击者自然会对将拦截的流量与海上的实体船只联系起来感兴趣。为了描述这项任务的难度,从流量中随机选择了 100 个主机 IP 地址样本。然后提取了以下基本元数据特征:
前 10 个源和目标自治系统编号 (ASN)
前 50 个 TLS 证书备用名称
前 50 TLS 主题通用名称和对象名称
前 50 个 TLS 颁发者常用名称和对象名称
前 50 个 DNS 查询主机名
捕获前 2000 个独特的 7+ 字符串
表三: 案例研究中从随机选择的 100 个主机地址中识别出的特定船只。
表 III:案例研究中从 100 个随机选择的主机地址中识别出的特定船只。
使用这些基本元数据,可以收集有关各个船只的重要信息。对于 100 台主机中的 62 台,这些数据足以确定船上可能有哪些类型的计算设备。在某些情况下(17 台),只能确定船上设备使用的一般操作系统(例如 Windows 10、Android)。但是,人们通常可以确定这些主机上运行的单个软件程序,甚至可以识别特定的软件版本。事实上,对于三台主机,通用漏洞和暴露 (CVE) 报告被确定为可能针对船上的特定软件进行攻击。
更实际的是,大约四分之一的被分析主机(26)可能与特定的所有者或船队有关,这允许攻击者针对特定的公司或行业进行攻击。这些组织分布在八个广泛的行业:石油和天然气、货运、化学品运输、政府、渔业、海底建筑、海事支持和海上风电。此外,这些公司来自 11 个不同的国家(德国、英国、荷兰、韩国、挪威、西班牙、百慕大、巴基斯坦、瑞士、波兰和意大利)。最大的公司雇佣了 70,000 多名员工,而最小的公司只运营一艘渔船。
其中 12 个主机可以进一步与特定船只(或者,在一个案例中,与一个偏远的极地研究站)相关联。这些船只总结在表 III中,并暗示了易受此威胁的海事组织的多样性。
简单的推断表明,仅使用粗略的手动分析,专门的攻击者就可以在为本研究收集的样本流量中识别出 1,000 多艘船只。而且,这可能是一个下限。对来自给定主机的流量进行更深入的手动审查可能会让攻击者更可靠地识别相关的客户和船只(尽管会增加调查时间)。
这项实验有双重目的。首先,找出可能危及使用海事 VSAT 连接的船员和船舶人身安全的安全问题。其次,找出可能损害海事 VSAT 客户数据隐私和网络安全的不太严重但重要的问题。虽然这两类之间可能存在很大重叠,但为了清晰起见,我们试图根据每类问题划分我们的发现。
调查结果:人身安全和运营
第二部分指出,先前的研究承认网络攻击者理论上希望以海上船舶为目标,而技术研究则讨论了此类攻击可能表现出来的机制,两者之间存在重大差距。我们的实验结果表明,针对海上 VSAT 通信的攻击可能就是这样一种机制,而确保海上 VSAT 的安全不仅对保护直接联网的设备很重要,而且对船舶和船员的更广泛的人身安全也很重要。具体来说,我们考虑了两个目标:用于在海上安全航行的导航和制图系统以及有关船上货物内容或安全程序的敏感操作信息。
A. 导航和海图
在船舶导航方面,海上 VSAT 服务用于提供有关其他船舶位置、最佳航线计划和精确航海图的实时数据。这些关键的操作环节直接影响现代船舶安全可靠地运行的能力。能够破坏受害者船只上导航数据可靠性的攻击者可能会对受害者和公众造成严重伤害。例如,一个恐怖组织修改航海图,导致一艘油轮在隐藏的礁石上搁浅,这将对环境造成灾难性的影响。同样,能够查看甚至改变货船计划路线的海盗可以确定试图扣押的最佳时间和地点。例如,在交通截获中,从一艘价值数百万美元的游艇上截获的交通包括即将前往目的地的详细行程计划。
图 12:一条 VSAT 流中报告的 AIS 位置图,其中报告的船只密集分布在法罗群岛附近。研究中共识别出 400 多万条 AIS 消息。
如第二部分所述,AIS 位置流量引起了极大关注。我们的流量捕获包括 400 多万条 AIS 消息,这些消息描述了各种船舶的位置。图 12中可以找到其中一些信号的地图。这些消息大多似乎从陆地网络服务器传输到各种船只上的 AIS 导航设备。如果攻击者设法在这些流上传输额外的 AIS 消息(参见第九部分),他们可能会恶意隐藏或人为地将船只引入目标船只上的海图地图中。
此前有研究表明攻击者可能会滥用电子海图显示和信息系统 (ECDIS) 使船舶与海底危险物相撞[27]。然而据我们所知,迄今为止尚未发现任何攻击此类系统的实际机制。ECDIS 已经取代了现代船舶上的纸质海图,成为安全航行的重要组成部分。与纸质海图相比,现代 ECDIS 系统的主要优势之一是能够通过使用 VSAT 连接实现频繁更新和交互数据。这些更新包括称为航海通告 (NM) 的重要安全信息,它传达了有关正在发生的航海危险的详细信息。
图 13:基于 FTP 的 ECDIS 更新流量。该系统很可能很容易受到第 IX 节中所述的攻击。
虽然每种 ECDIS 产品都不同,但我们在研究中观察到的流量表明,由于信息通过海事 VSAT 网络泄露,几种常用的 ECDIS 平台很容易受到攻击。在一些情况下,ECDIS 海图更新通过未加密的 POP3 电子邮件协议传输。在许多情况下,目标 ECDIS 会自动下载并使用正确命名并发送到正确 POP3 收件箱的文件。在其他情况下,船员必须手动将更新从电子邮件收件箱复制到外部存储设备上,并插入适当的 ECDIS 设备 - 通常是定期进行的。我们还发现了几个通过不安全的 FTP 连接或 HTTP API 更新 ECDIS 海图的例子(图 13)。如果攻击者通过任何这些更新机制提交恶意更改的文件,他们将能够更改用于导航受害者船只的航海图。
图 14:通过明文 HTTP API 传输的捕获的 NM。该系统很可能很容易受到第 IX 节详述的攻击。
目前已有用于 ECDIS 海图加密验证的公共标准 (IHO S-63),可以缓解此类攻击[25] 。S-63 标准的制定明确目标是防止恶意软件对船舶造成危害,它是对较旧的不安全格式 (S-57) [24]的补充。S-63 实施公钥签名系统,以方便客户端验证海图的真实性和完整性。
尽管如此,我们的流量捕获中还是出现了超过 15,000 个未经认证的 S-57 格式图表的目录引用。此外,许多流行的图表服务不使用 S-57 或 S-63 标准,而是使用自己的专有格式。对两种此类供应商特定格式的粗略检查表明没有使用加密验证系统。例如,图 14描绘了通过不安全的 Web API 传输的 NM 警报。
未来系统性地研究这些专有格式对数据篡改的稳健性可能会为海事制图客户提供宝贵的信息。无论如何,这些发现清楚地证明了采用 S-63 或类似验证标准的重要性,即使对于“隔离”或其他安全的 ECDIS,恶意软件入侵风险也较低。
B. 船舶作业和安全
除了导航和制图之外,现代船舶日常运营的许多其他方面都依赖于 VSAT 连接,在不安全的 VSAT 传输的情况下,可能对船舶和船员的安全构成安全威胁。即使是看似不敏感的简单数据,例如列出船上人员的舱单,也可能为海盗提供危险的优势,以评估他们是否有能力压制目标船舶的船员(图 15)。
定期传输货物舱单和各港口当局要求的其他信息可让攻击者识别感兴趣的目标。我们定期观察到货物舱单讨论船只内容,通常以电子邮件附件的形式或封装在各种专有船队管理软件产品的流量中。在一个说明性示例中,我们观察到一艘船发送一份报告,表明它正在运输硫化氢(图 16)。伊斯兰国此前曾试图制造或获取硫化氢以用于开发化学武器[4]。虽然化学武器开发的特殊性远远超出了本文的讨论范围,但此类信息的泄露引起了直觉上的担忧。
图 15:实验期间捕获的价值 5000 万美元的豪华游艇上的部分船员名单。
图 16:实验期间捕获的风险评估文件的一部分,表明船上存在危险材料。
收集乘客和机组人员的隐私
与许多大型组织一样,海运公司经常处理有关其客户和员工的敏感数据。与其他大型组织不同的是,这些数据中很大一部分是通过无线方式传输的,如果使用 VSAT 连接,则可能被数千英里外的攻击者物理拦截。因此,海运 VSAT 连接普遍容易被窃听,这引发了严重的隐私问题,并表明海运 VSAT 通信可能成为网络犯罪分子和身份窃贼的目标。
例如,跨越国际边界的船舶必须保存乘客和船员的签证和护照详细信息。这些数据经常通过船岸链路传输,以预测船舶抵达特定港口。尽管这些数据非常敏感,但在短短 24 小时内,我们就能找到十多个通过 VSAT 连接以纯文本形式传输的完整护照详细信息实例(图 17)。
图 17:实验期间截获的护照和机组人员数据的编辑实例。
面向消费者的海上业务,例如渡轮和游轮,依靠向乘客销售商品和服务的能力作为其收入来源的一部分。因此,他们必须在海上处理和验证信用卡付款细节,而 VSAT 技术则用于提供这项服务。图 18展示了研究期间从船上信用卡读卡器观察到的 12,000 多条消息中的一条。对这些机器使用的通信协议进行逆向工程超出了本项目的范围,但这种流量的存在表明敏感的财务数据可能无法在 VSAT 链路上得到充分保护。此前,在航空领域,通过一种不相关的地面无线电协议[41]也发现了类似的安全交易处理问题。这表明,尽管敏感数据加密技术普遍可用,但客户对深奥和特定领域环境中的数据链路安全性缺乏认识,可能会滋生危险的做法。
图 18:一张经过大量删减的截图,显示某大型邮轮公司的手持信用卡读卡器发送的流量。研究中出现了超过 12,000 条此类消息。
与海事组织业务运营相关的内部网络流量也可能包含高度敏感的信息。虽然大多数电子邮件协议流量都经过加密,但在实验记录中发现了超过 130,000 个未加密的电子邮件会话。其中包括高度敏感的信息,例如价值数百万美元的游艇船长的 Microsoft 帐户密码重置链接,以及石油公司领导层就最近导致一名船员死亡的事故进行的坦诚讨论。这些信息以纯文本形式在整个大陆传播令人深感担忧。
电子邮件只是通过 VSAT 连接泄露敏感业务信息的众多情况之一。例如,一家组织使用 VSAT 链接在其船只上复制员工内联网资料,结果泄露了数百份员工电子邮件、用户名、地址、近亲信息和密码哈希。同样,观察到超过 95,000 个未加密的 FTP 会话 - 其中许多用于在整个船队中传播有关船员和用户帐户的更新信息。尽管这些协议的加密替代方案广泛可用,但许多海事组织实际上并没有使用它们。
一种加密协议被广泛使用,TLS 在我们的数据集中排名第三。然而,即使在这种情况下,粗略的分析也发现了实施过程中经常出现的问题。在观察到的大约 3000 万个 TLS 会话中,约 9% 使用了通常被认为是薄弱或不安全的密码协议[37]。将分析限制在海上 VSAT 网络本地的“内部”流量,薄弱或不安全的密码套件的流行率大幅增加到 36%。法律限制阻碍了对这些密码的实际可利用性的更深入调查,但未来的工作可能会取得丰硕成果。
主动攻击
除了被动窃听之外,攻击者可能还希望直接干扰主动 VSAT 通信链路。然而,对于资源匮乏的对手来说,这样做会面临一些障碍。
首先,馈送的非广播部分(例如,从船舶到卫星的上行链路连接,或从卫星到地面站的下行链路连接)是高度定向的信号。要拦截或欺骗这些部分,可能需要使用位于船舶到卫星视线范围内的飞行器,或战略性地部署船舶以监听目标船舶上的 VSAT 天线的旁瓣。此外,要成功实时复制卫星馈送的调制状态和信号特性,需要使用昂贵而复杂的无线电设备。鉴于这些限制,VSAT 环境中主动攻击者的威胁历来并不令人担忧。
TCP 会话劫持
使用我们的实验设置,我们成功展示了攻击者通过 TCP 会话劫持任意修改真实海上 VSAT 环境中流量的能力。虽然 TCP 劫持的过程很容易理解,但由于竞争条件具有挑战性,这些攻击在陆地 ISP 网络中很少见。
卫星网络的独特物理特性为这种威胁模型提供了重大变化,因为攻击者几乎肯定会“赢得”劫持会话的竞赛(图 19)。卫星链路上的光速延迟非常显著。对于我们捕获的 425 个公共可路由主机,平均往返时间 (RTT) 约为 725 毫秒,中位数 RTT 约为 700 毫秒。这为攻击者提供了大约 350 毫秒的时间来发送恶意 TCP 响应。即使在理想的理论条件下,到地球静止轨道的 RTT 也高达 500 毫秒。
B. TCP 劫持要求
海上 VSAT 网络仅在特定条件下容易受到 TCP 劫持攻击。
首先,攻击者必须确定目标 TCP 对话两端的公共 IP 路由。通常,这要求网络内的容器具有公共 IP 地址。但是,也可以通过网络地址转换 (NAT) 识别 IP 映射,尽管需要付出更多努力。例如,在实验性捕获中,内部主机的公共 IP 路由偶尔会在 SMB 文件路径和 HTTP 标头中泄露。有趣的是,许多此类泄露源自对易受攻击的主机的恶意软件流量扫描,这表明使用加密应用层协议(例如 HTTPS)的组织策略可能不足以完全隐藏 IP 映射。
卫星生态系统独有的一点是,还存在一个风险,即在空中观察到的 TCP 会话与接收船只和互联网端点观察到的会话不同。这是由于使用了性能增强代理 (PEP)。PEP 会修改 TCP 连接并在 TCP 三方握手中生成人工 ACK 响应,以防止高延迟被 TCP 协议误解为网络拥塞的迹象。
PEP 可以有很大差异。首先,它们可以修改客户端、ISP 网关或两者的流量。此外,它们可以将流量“拆分”为不同的 TCP 会话(为双方生成唯一的序列号和握手),也可以“窥探”TCP 会话,以不可见的方式运行并保留整个链路上的 TCP 标头信息。在前一种情况下,通过卫星链路传输的 TCP 会话号可能与任一或两个会话端点所期望的 TCP 会话号不同。这可以完全防止劫持攻击(如果连接“拆分”为三个跳转),或将攻击限制在单个方向(如果连接“拆分”为仅两个跳转)。
在我们的研究中,大约 425 台主机(占观察到的主机的 5% 左右)具有可公开路由的 IP 地址。但是,这可能不是一个具有代表性的比例,因为 VSAT 提供商之间公共 IP 地址的配置差异很大。在考虑但未选择进行长期记录的 11 家其他 VSAT 服务提供商中,约有三分之一向客户提供了可公开路由的 IP 地址。出于法律和道德原因,我们没有尝试在单个主机上对 PEP 软件进行指纹识别,因为这需要主动端口扫描和与客户端点的连接。
C. 劫持实施
为了劫持 TCP 会话,GSExtract 会监控从指定互联网主机到指定 VSAT 目标的 TCP SYN 连接的实时 VSAT 流量。它从截获的数据中提取适当的序列号,并使用它向互联网主机传输虚假的 TCP SYN-ACK 响应。此恶意响应在合法响应完成其 70,000 公里的地球静止轨道旅程之前数百毫秒到达互联网主机。类似的过程用于拦截三次握手的最终 ACK 响应和所有后续 TCP 数据包。
图 19:VSAT 中 TCP 劫持的概念概述
为了在实际 VSAT 网络中负责任地评估这种威胁,我们选择劫持我们自己尝试连接到远程船只上的已关闭 TCP 端口。具体来说,我们对发送到 VSAT 环境内的 IP 地址的 HTTP 请求生成恶意响应。这使我们能够成功生成看似来自在客户网络内运行的船只上运行的 Web 服务器的流量。这种攻击可用于向地面运营中心虚假报告位置详细信息或其他船只状态信息。
TCP 会话劫持还支持其他攻击媒介,包括向 telnet 会话注入命令和对某些 SSH 配置进行中间人攻击。根据我们上述发现,TCP 劫持可能代表一种恶意更改 ECDIS 航海图、NM 警报、AIS 区域报告或其他操作重要信息的机制。此外,通过引入恶意 TCP RST 数据包,可以实现简单的拒绝服务攻击。因此,攻击者可以显著降低与海上船舶的所有 TCP 连接的可靠性。攻击者甚至可能完全阻止与海上船舶的 TCP 连接。
我们仅评估了拦截从互联网到 VSAT 网络内主机的传入连接的能力。我们没有干扰任何来自船舶的合法上行链路连接,因为这可能会中断关键通信并对最终用户造成伤害。尽管如此,我们预计这种攻击对于拦截从卫星主机到更广泛互联网的上行链路连接同样有效。虽然攻击者的延迟优势会降低,但攻击者仍然具有时间优势,能够立即回复客户的请求,而不是通过开放互联网路由请求并等待响应。这表明窃听者可以获得对 VSAT TCP 流的全双工访问,尽管他们只能通过无线电拦截一半的连接。
D. 进一步主动攻击
除了 TCP 劫持之外,直观看来,其他针对 VSAT 系统的主动攻击也是可能的。例如,至少发现了 30,000 个带有会话令牌的 HTTP 对话,可能容易受到 HTTP 劫持攻击。同样,在 VSAT 馈送上会定期观察到 DNS 响应,虽然预测 DNS 查询可能很困难(因为这些查询是通过上行链路发送的,因此在信号捕获中不会观察到),但某些操作系统(例如旧版本的 Windows)会生成可预测的 DNS 事务 ID 并可能接受恶意响应[32]。可能需要进一步评估海上 VSAT 中的主动攻击。但是,这需要 VSAT 客户和服务提供商的合作,以合乎道德的方式进行。
可能的解决方案和未来工作
提高海事行业意识是解决这些问题的关键第一步。根据本研究观察到的流量内容,海事 VSAT 客户似乎并不知道外部人员可以监听其网络上的流量——尤其是当这些流量在 LAN 环境中逻辑路由时。在许多情况下,这些问题可以通过使用应用层加密替代方案得到显著缓解,例如要求对 POP3 电子邮件会话使用 TLS 或对内部 Web 流量使用 HTTPS。
然而,诸如 TCP 劫持和拒绝服务威胁或通过识别 TLS 证书进行应用程序指纹识别等更深层次的问题更难解决。虽然 VPN 是一种直观的解决方案,但标准 VPN 产品与前面提到的性能增强代理 (PEP) 不兼容,而后者对于在 VSAT 环境中维持可用速度至关重要[36]、[18]。TCP 流量的延迟被视为网络拥塞的指示,因此卫星环境中的 TCP 对话需要更长的时间才能最大限度地利用可用带宽。结果,ISP 使用 PEP 来更改 TCP 报头并动态生成伪造的 TCP ACK 数据包。VPN 阻止了执行这些任务所必需的深度数据包检查。因此,有必要进一步研究适合 VSAT 环境特殊性的链路层安全协议。
虽然存在一些专有解决方案,但这些实现方式尚未得到充分研究,而且除了营销声明之外,它们的安全属性尚未得到验证[43]。学术界也提出了一些提案,特别是围绕 21 世纪初基于 MPEG-TS 的通信,但这些提案尚未针对较新的 DVB-S2 和 GSE 标准进行更新[13]。业界为确保科学太空任务安全而提出的提案显示出希望,但缺乏密钥管理基础设施和多用户环境的多路复用能力[7]。因此,迫切需要一个可验证的开放现代加密卫星宽带标准——无论是在海事 VSAT 范围内还是在更广泛的范围内。
短期内,尤其是对于我们案例研究中概述的敏感信息,海事 VSAT 客户可能需要接受在 VSAT 连接上使用 IPSec 和其他端到端隧道技术所带来的巨大性能成本。从用户体验的角度来看,高延迟连接可能并不理想,但比起危及船舶和船员的替代方案,它们还是更可取的。
从历史上看,获取设备的高成本和海事卫星协议的深奥性可能成为威胁行为者进入的重大障碍。然而,情况已不再如此。
通过利用廉价且广泛使用的卫星电视设备,我们已经证明攻击者可以窃听许多海上 VSAT 连接,而成本不到传统设备成本的 1%。此外,我们还推出了 GSExtract,这是一种取证工具,可以从严重损坏和不完整的 GSE 转发器流中恢复和提取大量有效 IP 流量。这些工具在现实环境中进行了测试,并用于观察覆盖欧洲和北大西洋的四条主要海上 VSAT 流——总共覆盖了超过 2600 万平方公里的覆盖区域。这些提供商都采用了全球 60% 以上的海上 VSAT 服务行业使用的底层技术堆栈。
通过这项实验分析,我们发现,现有的海上 VSAT 网络缺乏基本的链路层加密。这些问题与它们对船舶安全航行和操作以及乘客和船员的安全和隐私的影响有关。此外,我们还展示了根据 VSAT 网络配置甚至拒绝或修改某些船岸通信的能力。简而言之,海上 VSAT 的不安全性导致了许多对船舶的新威胁,这些威胁可能被海盗、罪犯和恐怖分子等各种相关威胁行为者利用。
我们的实验结果表明,现状对世界上一些最大、最重要的海事组织构成了重大风险。由于海事运营商尚未意识到窃听攻击对船岸通信链路造成的风险,我们希望本文是描述威胁的第一步。此外,我们建议在短期内使用通用加密技术,并在长期内使用定制协议来处理卫星网络环境独特的延迟限制。连接海洋和太空的技术在塑造现代生活的全球经济中发挥了决定性作用。确保这些网络能够抵御越来越复杂和强大的攻击者将是维护这些优势的关键。
参考文献
原文始发于微信公众号(太空安全):“伊朗油轮卫星网络遭受攻击事件”分析VSAT安全性
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论