【警鐘響起】
2025年3月19日,知名黑客組織Lab Dookhtegan宣稱對伊朗兩大國有航運公司旗下的116艘油輪發(fā)動了“史上最大規(guī)模”網(wǎng)絡(luò)攻擊,導(dǎo)致這些船只的衛(wèi)星通信系統(tǒng)全面癱瘓。此次行動正值美國對也門胡塞武裝發(fā)動軍事打擊期間,被外界視為針對伊朗支持地區(qū)武裝的“精準(zhǔn)報復(fù)”。
據(jù)海事安全公司Cydome分析,此次攻擊的核心目標(biāo)是伊朗國家油輪公司(NITC)和伊斯蘭共和國航運公司(IRISL)的衛(wèi)星通信設(shè)備。黑客通過遠程入侵船舶VSAT終端,不僅切斷了船岸之間的衛(wèi)星數(shù)據(jù)傳輸,還抹除了船舶內(nèi)部網(wǎng)絡(luò)的關(guān)鍵配置文件,導(dǎo)致船員無法通過內(nèi)部通信系統(tǒng)協(xié)作。值得注意的是,所有攻擊指令均在同一時間發(fā)送,展現(xiàn)出高度自動化的攻擊鏈和精準(zhǔn)的情報支撐。
現(xiàn)代船舶的通信系統(tǒng)已成為“單點故障”——一旦衛(wèi)星終端被攻破,黑客可借此滲透至導(dǎo)航、動力等核心系統(tǒng)。而中東局勢持續(xù)惡化更讓問題雪上加霜:胡塞武裝對紅海商船的襲擊已導(dǎo)致中歐航線繞行好望角,運輸成本激增40%;如今網(wǎng)絡(luò)攻擊與實體威脅交織,進一步加劇了航運行業(yè)風(fēng)險。
衛(wèi)星通信系統(tǒng)遭到攻擊,已經(jīng)不是個例。2022年2月24日,在俄烏沖突爆發(fā)伊始,“被烏克蘭軍方密集使用”的衛(wèi)訊(Viasat)KA-SAT衛(wèi)星通信網(wǎng)絡(luò)遭受多路蓄意網(wǎng)絡(luò)攻擊,導(dǎo)致烏克蘭與歐洲部分區(qū)域KA-SAT衛(wèi)星寬帶用戶服務(wù)中斷。Viasat公司表示,攻擊者通過破壞管理網(wǎng)絡(luò)并發(fā)出管理命令,覆蓋設(shè)備的閃存來關(guān)閉客戶的家用調(diào)制解調(diào)器,使它們無法重新連接到網(wǎng)絡(luò)。隨后的調(diào)查和取證分析確定了攻擊者是從地面網(wǎng)絡(luò)發(fā)起攻擊,利用VPN設(shè)備中的錯誤配置來遠程訪問KA-SAT的受信任管理網(wǎng)絡(luò)。攻擊者通過這個受信任的管理網(wǎng)絡(luò)橫向移動到用于管理和操作網(wǎng)絡(luò)的特定網(wǎng)段,然后在大量住宅調(diào)制解調(diào)器上執(zhí)行了有針對性的管理命令。這次攻擊的直接結(jié)果是,數(shù)以萬計的在線調(diào)制解調(diào)器從KA-SAT網(wǎng)絡(luò)中掉線,無法重新加入網(wǎng)絡(luò)。
【深入剖析】
我們發(fā)現(xiàn):面對專業(yè)黑客組織攻擊,甚至上升至國家級網(wǎng)絡(luò)空間對抗時,衛(wèi)星通信系統(tǒng)其實非常脆弱;目前國際上針對衛(wèi)星互聯(lián)網(wǎng)的攻擊,呈現(xiàn)高頻化,擴大化的趨勢;衛(wèi)星互聯(lián)網(wǎng)國內(nèi)未爆發(fā)大規(guī)模安全事件,主要是因為商用民用尚未普及,沒有引起黑產(chǎn)關(guān)注,但是使用衛(wèi)星網(wǎng)絡(luò)的用戶都是高價值目標(biāo),未來一定會成為網(wǎng)絡(luò)安全事件的重災(zāi)區(qū)。
根據(jù)研究分析,伊朗油輪涉及的衛(wèi)星通信設(shè)備為iDirect公司的衛(wèi)星調(diào)制解調(diào)器產(chǎn)品。該品牌隸屬于美國衛(wèi)星通信行業(yè)巨頭STE公司(STEngineering iDirect),該公司提供政府及軍用衛(wèi)星通信產(chǎn)品,產(chǎn)品類型包括iDirect調(diào)制解調(diào)器、集線器和衛(wèi)星通信解決方案,主要服務(wù)于服務(wù)商、網(wǎng)絡(luò)運營商、政府機構(gòu)、大型企業(yè)、軍隊等客戶。其Evolution系列是衛(wèi)星通信場景中“星狀網(wǎng)”的典型代表機型,包括型號:EvolutionX3、EvolutionX5、EvolutionX7系列在海事上有著廣泛的應(yīng)用,可以通過www.daydaymap.com了解全球設(shè)備分布情況。
攻擊組織通過對iDirect終端進行掃描和測繪,利用弱口令,獲取了終端root權(quán)限,編寫自動攻擊腳本,使用終端自帶的命令對終端存儲器進行擦除,從而破壞了終端系統(tǒng),造成無法正常工作。iDirect系列調(diào)制解調(diào)器通常存在默認口令,一般用戶不會主動修改該密碼導(dǎo)致默認口令的風(fēng)險存在。另一方面,由于設(shè)備廠商較少提供系統(tǒng)更新服務(wù),導(dǎo)致系統(tǒng)版本的陳舊也增加了較大安全風(fēng)險。
衛(wèi)星通信系統(tǒng)為何如此脆弱?
衛(wèi)星通信網(wǎng)絡(luò)的結(jié)構(gòu)導(dǎo)致了比地面多路由隔離的網(wǎng)絡(luò)風(fēng)險更高,由于衛(wèi)星通信空中通信接口的開放性,使得黑客通過入侵小站即可進入衛(wèi)星通信網(wǎng),然后可以通過主站的專線直接入侵用戶內(nèi)網(wǎng)。
供應(yīng)鏈不可控且不可靠是非常大的安全隱患。目前在用的衛(wèi)星通信設(shè)備主要供貨商都是國外產(chǎn)品,國外供應(yīng)商在關(guān)鍵設(shè)備、樞紐部件上有意無意、或多或少的預(yù)制后門,留有漏洞。有些設(shè)備廠商通過后門可以直接還原用戶傳輸?shù)拿芪臄?shù)據(jù);還有的廠商使用較為脆弱的過時加密算法,使用個人計算機即可達成破譯。
通過對設(shè)備固件進行提取分析發(fā)現(xiàn),廣泛存在廠商預(yù)置的賬號,用于遠程登錄和管理控制。這成為了衛(wèi)星網(wǎng)絡(luò)常用的入侵手段,伊朗油輪衛(wèi)星終端以及Viasat衛(wèi)星網(wǎng)絡(luò)攻擊事件就是采取此類方法,存在重大安全隱患。
衛(wèi)星終端安全設(shè)置薄弱,網(wǎng)絡(luò)異構(gòu),網(wǎng)絡(luò)設(shè)置和通信設(shè)置都比較復(fù)雜,這也帶來了很大的安全風(fēng)險。
衛(wèi)星通信系統(tǒng)組網(wǎng)和控制缺乏安全防護措施,控制面、業(yè)務(wù)面、用戶面共用空口信道,但是沒有進行安全隔離,不同網(wǎng)絡(luò)用戶缺少安全隔離機制。衛(wèi)星通信運營商目前只為用戶提供基本的通信服務(wù),缺乏完善的通信安全防護措施。
【解決方案】
要徹底解決衛(wèi)星通信的安全問題,用戶需要督促衛(wèi)星通信設(shè)備的供應(yīng)商,升級衛(wèi)星終端,盡量排除隱患。有條件的用戶可以更換全國產(chǎn)的衛(wèi)星通信系統(tǒng),防止留存后門。
針對在用的衛(wèi)星通信系統(tǒng),如何提升其安全性?盛邦安全已發(fā)布衛(wèi)星互聯(lián)網(wǎng)安全解決方案,能從查、測、防等三個方面進行安全加固,主要包含以下內(nèi)容:
1、衛(wèi)星網(wǎng)絡(luò)系統(tǒng)徹查
針對衛(wèi)星互聯(lián)網(wǎng)運營單位及用戶,提供空口側(cè)、地面?zhèn)鹊陌踩珯z查服務(wù),包括通信體制、通信模塊、鏈路層協(xié)議、互聯(lián)網(wǎng)POP節(jié)點、地面信關(guān)站及終端漏洞的脆弱性分析,并能形成安全分析報告。
2、網(wǎng)絡(luò)資產(chǎn)排查和分析
通過衛(wèi)星互聯(lián)網(wǎng)測繪,排查衛(wèi)星通信網(wǎng)和地面專網(wǎng)的信息資產(chǎn)暴露面及脆弱面,摸清楚資產(chǎn)底數(shù),建立安全基線。
3、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)隔離
由于衛(wèi)星通信相對昂貴,移動載體通常是利用一個衛(wèi)星通信信道滿足多種需求,包括上網(wǎng),辦公,工業(yè)控制等多種業(yè)務(wù)需求,這給安全防護帶來了巨大挑戰(zhàn);谛l(wèi)星網(wǎng)絡(luò)特殊性,通過密碼定義網(wǎng)絡(luò)邊界技術(shù),實現(xiàn)控制面、業(yè)務(wù)面、互聯(lián)網(wǎng)面在波束共用時,終端接入和數(shù)據(jù)訪問權(quán)限的安全隔離。
4、衛(wèi)通通信的安全防護
提供衛(wèi)星通信加密解決方案,保障衛(wèi)星終端接入的安全和通信的加密防護,為衛(wèi)星通信系統(tǒng)提供衛(wèi)星信道的安全防護措施和終端接入的安全控制。