太空网络安全刻不容缓！GhostSec黑客声称攻击了中国生产的卫星接收器

Cyble Research Intelligence Labs (CRIL) 确定了黑客组织GhostSec参与了以卫星接收器为目标的网络攻击。该团队发现，由于最近的地缘政治事件，最近对太空部门的威胁和攻击有所增加。针对直接和间接与空间和卫星通信 (SATCOM) 行业打交道的组织的勒索软件攻击正在增加。其监测到的一起网络攻击案例是针对GNSS接收器进行的，实际上攻击目标可能是“CTI运维管理系统软件”，由中国上海某科技公司研制。在3月27日的一篇文章中，CRIL研究人员声称，公共和私人实体合作以保护对航天工业的威胁已变得至关重要，因为该部门内成功的网络攻击对其他关键基础设施部门产生了毁灭性影响。

(资料图片仅供参考)

GhostSec是一个知名的支持乌克兰的黑客组织，今年早些时候声称它对RTU（远程终端单元）进行了“有史以来第一次”勒索软件攻击，RTU是一种通常部署在工业控制系统 (ICS) 环境中的小型设备。匿名组织附属机构表示，它在其最喜欢的行动“#OpRussia”中执行了GhostSec勒索软件，并解释说“只有他们才能支持#Ukraine。”

上海某科技公司管理软件遭攻击

CRIL团队跟踪发现，2023年3月14日，黑客组织GhostSec（匿名组织的附属机构）的成员分享了一条与他们攻击全球导航卫星系统 (GNSS) 接收器有关的推文。“GNSS接收器的多个面板被共享，作为他们访问GNSS接收器的证据。在其中一张共享的屏幕截图中，“接收者的位置似乎在克里姆林宫附近。”CRIL研究人员认为，GhostSec针对的GNSS接收器可能是“CTI运维管理系统软件，为中国上海某导航科技公司的产品”，这是一种结合了多个卫星星座的高精度导航技术，包括GPS、GLONASS、北斗和伽利略为广泛的应用提供准确可靠的定位信息。根据这家导航技术供应商发布的新闻文章，他们似乎在俄罗斯有业务。

研究人员表示，如果GNSS接收器遭到破坏或被未经授权的人员操纵，可能会发生多种潜在后果，包括定位、导航和授时 (PNT)准确性的损失、通信中断、安全风险、财务损失和网络安全风险。

卫星调制解调器作用至关重要

CRIL团队表示，卫星调制解调器是一种无线通信设备，可以将数字数据转换为射频信号，并在远程位置之间建立卫星链路。它们与传统调制解调器不同，因为它们提供更强大的纠错机制，非常适合难以到达的位置。

“政府、军事、电信、能源、公用事业和交通等关键基础设施部门都依赖卫星调制解调器。卫星调制解调器对于传输遥测数据和控制航天工业中的航天器运行至关重要。它们还可以用于遥感和地球观测应用，”研究人员指出。“如果攻击者破坏卫星调制解调器，可能会造成严重后果。传输数据的机密性、完整性和可用性可能会受到损害，从而导致安全漏洞、间谍活动或破坏活动。”

该团队补充说，攻击者可能会获得政府或军事机密等敏感数据的访问权限，并对能源和交通等关键基础设施部门造成广泛破坏，从而导致服务中断甚至事故。“此外，依赖卫星链路的企业可能会遭受收入损失，损害他们的声誉和前景。最终，这种恶意攻击会严重威胁国家安全和公共安全。”

CRIL团队还指出了由“Team One Fist”团队执行的“大灾变行动”（‘Operation Cataclysm），表明了对卫星调制解调器的攻击的严重性。“在对MegaFon进行的攻击中，黑客组织声称已经创建了自定义程序来阻碍路由器的预定义操作。同时，他们删除了这些调制解调器上的关键配置。该组织分享了多个屏幕截图和视频，显示调制解调器进入故障状态，”该帖子补充道。

该帖子还指出，黑客组织在Operation Cataclysm行动中以“Newtec卫星调制解调器”为目标。“Newtec卫星调制解调器用于需要可靠和高速卫星通信链路的各个行业，包括电信、广播、军事和国防、海事、石油和天然气、航空和紧急服务。其中一台在线扫描仪显示有 296个暴露在互联网上的Newtec卫星调制解调器，”它补充道。

研究人员补充说，如果操作这些调制解调器的授权人员没有更改默认凭据，则黑客组织可能会继续进入这些系统并执行与Team One Fist类似的操作。

暴露于公网的GNSS接收器面临攻击风险

由于黑客组织以GNSS接收器为目标，Cyble的研究人员调查了暴露在互联网上的 GNSS接收器，以了解它们的攻击面。在调查过程中，我们发现多个供应商提供的多个 GNSS接收器暴露在互联网上。

全球使用的五种主要GNSS接收器的暴露详情包括GNSS-1共有3,641个暴露于互联网的实例，其中美国记录了957个实例，日本为719个实例，加拿大为275个实例。GNSS-2 共有4,864个暴露于互联网的实例，澳大利亚记录了816个实例，希腊以766 个实例位居第二，意大利记录了743个实例。GNSS-3共有899个暴露于互联网的实例，其中俄罗斯记录了 201个实例，波兰记录了145个实例，美国记录了43个实例。

转到GNSS-4，Cyble研究人员表示它总共有343个暴露在互联网上的实例。其中，韩国记录了53起，美国记录了44起，法国记录了41起。最后一个，GNSS-5共有28个暴露于互联网的实例，其中中国占15个实例，泰国和美国各记录6个实例。

研究人员还透露，在调查过程中，“我们观察到暴露在互联网上的GNSS系统存在多个漏洞以及公共漏洞。”

航天工业和卫星通信行业及供应链的网络安全威胁日趋严峻

CRIL的帖子还表示，勒索软件对航天行业的攻击可能会造成毁灭性的后果，尤其是在供应链上。

“供应、分销、制造或提供与卫星通信组件和软件相关服务的公司是勒索软件攻击的潜在目标。如果这些公司被成功攻击，可能会对整个行业造成严重影响，并对国家安全造成重大损害。”

随着在航天工业和卫星通信网络中运行的组织和设备已成为一个国家关键基础设施中越来越重要的组成部分，威胁和攻击不断升级。对卫星通信的日益依赖导致人们认识到，空间服务的任何中断或退化都可能对安全和经济造成严重后果，网络威胁已成为该领域所用服务的重大风险之一。

卫星严重依赖计算机系统和网络才能正常运行。黑客可以利用复杂系统网络中的漏洞来未经授权访问卫星数据、拦截或操纵信号以及中断通信。

此外，研究人员指出，勒索软件攻击航空航天和卫星通信领域的组织可能会导致太空计划的延迟或取消。“与此同时，数据泄露可以为攻击者提供太空计划中的战略优势。确保供应链中的所有组织实施强有力的网络安全措施以减轻这些风险至关重要。”

“这个行业的每个载体都存在遭受网络攻击的高风险，包括卫星调制解调器、接收器、天线、软件和其他 IT/IOT组件，”CRIL的文章指出。“对空间、地面和空间链路通信最常见的网络威胁包括数据损坏/修改、地面系统丢失、数据拦截、干扰、拒绝服务、伪装（欺骗）、重播、软件威胁和未经授权的访问。”

CRIL团队认为，“在不久的将来，威胁组织将出于经济和政治动机，积极利用面向公众的SATCOM设备，并对支持SATCOM行业的组织发起勒索软件攻击。”

针对航空工业企业的网络攻击此起彼伏

据Cyble披露， 2023 年3 月28日，Lockbit将目标锁定为“香港工程有限公司”，该公司是航空业的主要参与者，一直在为商用飞机提供卫星通信系统。

“2023 年3月21日， Lockbit公布了他们的受害者‘卡纳塔克邦遥感应用中心’的详细信息，该中心是该州所有遥感和GIS活动的节点机构，”该帖子透露。“受害组织与政府空间部印度空间研究组织互动和合作。印度以及遥感和相关学科领域的其他国家和国际组织。”

它补充说，2023年3月13日，Lockbit公布了他们的新勒索软件受害者“Maximum Industries”，这是一家专门制造火箭零件的公司。“该组织声称，泄露的数据包括3000张经航天器和卫星通信技术制造商SpaceX认证的工程图纸。”

3 月10日，Lockbit公布了勒索软件受害者“Micos Engineering GmbH”的详细信息，这是一家独立的系统工程中小企业，专注于光学仪器、基于卫星的有效载荷、遥感单元和其他小型卫星解决方案。

除了今年早些时候 Lockbit 对Maximum Industries的攻击外，DNV ShipManager 服务器也成为勒索软件攻击的目标。根据DNV的官方声明，“在网络攻击之后，必须重建 ShipManager服务器环境”。因此，对从事太空和SATCOM供应链交易的组织的勒索软件攻击越来越多，这凸显了勒索软件组织对破坏该行业的兴趣。

显然，自前几年以来，对卫星通信网络的威胁一直在逐渐增加。针对Viasat 的KA-SAT网络的网络攻击部分中断了KA-SAT面向消费者的卫星宽带服务，并使德国的5,800 台 Enercon风力涡轮机受损。这突出表明，对卫星通信行业内组件的网络攻击可能会产生灾难性的影响，并削弱国家关键基础设施的运营。

美国安全机构网络安全和基础设施安全局 (CISA)和联邦调查局 (FBI)于去年5月发布了一份网络安全咨询，强调从事该行业的组织应遵循的缓解策略。有关当局应考虑过去事件的轨迹，以及对卫星通信和航天工业的勒索软件攻击和黑客攻击，因为对该部门的攻击具有破坏其他关键国家服务的能力。

在发布网络安全咨询之前，由于担心这些网络可能受到威胁，这些机构于去年 3 月呼吁加强国家和国际卫星通信网络的网络安全。这些机构透露，成功的入侵可能会给SATCOM网络提供商的客户环境带来风险。

上周，美国Space ISAC启动了其操作监视中心及其初始运营能力。Space ISAC的观察中心由十名现场分析师组成的专门团队提供支持，并由安全的云架构提供额外的虚拟支持，代表着太空界向前迈出了巨大的一步。该中心将运营观察中心计划确定为 Space ISAC 的一个重要里程碑，将帮助解决该部门面临的日益严重的威胁和漏洞，该部门目前为全球数十亿人提供服务。

参考资源

1、https://blog.cyble.com/2023/03/27/ghostsec-targeting-satellite-receivers/

2、https://industrialcyber.co/threat-landscape/ghostsec-hackers-target-satellite-receivers-as-threats-toward-satellite-communication-networks-gradually-rise/

3、https://www.onefist.org/post/operation-cataclysm

4、https://twitter.com/V_GhostSec

标签：