【警钟响起】
2025年3月19日,黑客组织Lab Dookhtegan宣称对伊朗两大国有航运公司旗下的116艘油轮发动了“史上最大规模”网络攻击,导致这些船只的卫星通信系统全面瘫痪。此次行动正值美国对也门胡塞武装发动军事打击期间,被外界视为针对伊朗支持地区武装的“精准报复”。
据海事安全公司Cydome分析,此次攻击的核心目标是伊朗国家油轮公司(NITC)和伊斯兰共和国航运公司(IRISL)的卫星通信设备。黑客通过远程入侵船舶VSAT终端,不仅切断了船岸之间的卫星数据传输,还抹除了船舶内部网络的关键配置文件,导致船员无法通过内部通信系统协作。值得注意的是,所有攻击指令均在同一时间发送,展现出高度自动化的攻击链和精准的情报支撑。
现代船舶的通信系统已成为“单点故障”——一旦卫星终端被攻破,黑客可借此渗透至导航、动力等核心系统。而中东局势持续恶化更让问题雪上加霜:胡塞武装对红海商船的袭击已导致中欧航线绕行好望角,运输成本激增40%;如今网络攻击与实体威胁交织,进一步加剧了航运行业风险。
卫星通信系统遭到攻击,已经不是个例。2022年2月24日,在俄乌冲突爆发伊始,“被乌克兰军方密集使用”的卫讯(Viasat)KA-SAT卫星通信网络遭受多路蓄意网络攻击,导致乌克兰与欧洲部分区域KA-SAT卫星宽带用户服务中断。Viasat公司表示,攻击者通过破坏管理网络并发出管理命令,覆盖设备的闪存来关闭客户的家用调制解调器,使它们无法重新连接到网络。随后的调查和取证分析确定了攻击者是从地面网络发起攻击,利用VPN设备中的错误配置来远程访问KA-SAT的受信任管理网络。攻击者通过这个受信任的管理网络横向移动到用于管理和操作网络的特定网段,然后在大量住宅调制解调器上执行了有针对性的管理命令。这次攻击的直接结果是,数以万计的在线调制解调器从KA-SAT网络中掉线,无法重新加入网络。
【深入剖析】
我们发现:面对专业黑客组织攻击,甚至上升至国家级网络空间对抗时,卫星通信系统其实非常脆弱;目前国际上针对卫星互联网的攻击,呈现高频化,扩大化的趋势;卫星互联网国内未爆发大规模安全事件,主要是因为商用民用尚未普及,没有引起黑产关注,但是使用卫星网络的用户都是高价值目标,未来势必成为网络安全事件的重灾区。
根据研究分析,伊朗油轮涉及的卫星通信设备为iDirect公司的卫星调制解调器产品。该品牌隶属于美国卫星通信行业巨头STE公司(STEngineering iDirect),该公司提供政府及军用卫星通信产品,产品类型包括iDirect调制解调器、集线器和卫星通信解决方案,主要服务于服务商、网络运营商、政府机构、大型企业、军队等客户。其Evolution系列是卫星通信场景中“星状网”的典型代表机型,包括型号:EvolutionX3、EvolutionX5、EvolutionX7系列在海事上有着广泛的应用,可以通过www.daydaymap.com了解全球设备分布情况。
攻击组织通过对iDirect终端进行扫描和测绘,利用弱口令,获取了终端root权限,编写自动攻击脚本,使用终端自带的命令对终端存储器进行擦除,从而破坏了终端系统,造成无法正常工作。iDirect系列调制解调器通常存在默认口令,一般用户不会主动修改该密码导致默认口令的风险存在。另一方面,由于设备厂商较少提供系统更新服务,导致系统版本的陈旧也增加了较大安全风险。
卫星通信系统为何如此脆弱?
卫星通信网络的结构导致了比地面多路由隔离的网络风险更高,由于卫星通信空中通信接口的开放性,使得黑客通过仿冒小站通过远距离空口信道即可进入卫星通信网,然后可以通过主站的专线直接进入用户内网。
供应链不可控且不可靠是非常大的安全隐患。目前在用的卫星通信设备主要供货商都是国外产品,国外供应商在关键设备、枢纽部件上有意无意、或多或少的预制后门,留有漏洞。主要情况包括:
第一、采用分层密钥管理体系结构。但是顶层密钥在国外厂商手中,对其设备承载的卫星通信网络可迅速还原加密业务。(厂商可以直接还原用户传输的密文数据)
第二、使用较为脆弱的过时加密算法,用个人计算机即可达成破译,高加密强度级别产品只对本国及盟国发售。
第三、通过对设备固件进行提取分析发现,广泛存在厂商预置的账号,用于远程登录和管理控制。这是卫星网络常用的入侵手段,伊朗油轮卫星终端以及Viasat卫星网络攻击事件就是采取此类方法,存在重大安全隐患。
表1 部分国内卫星VSAT情况表
卫星 | 运营商 | VSAT体制 | 用户分布 |
138°E、100.5°E | 中国卫通 | Gilat SkyEdge-II | 我国西南和东部、南部沿海 |
76.5°E、87.5°E、105.5°E、110.5°E、122°E、134°E、138°E | 中国卫通 | iDirect-Infiniti iDirect-Evolution | 我国华北、东北、西北及香港、新加坡、日本、韩国、哈萨克斯坦 |
105°E、122°E、125°E | 中国卫通 | Hughes HX | |
100.5°E、122°E | 中国卫通 | Viasat Linkstar |
卫星终端安全设置薄弱,网络异构,网络设置和通信设置都比较复杂,这也带来了很大的安全风险。
卫星通信系统组网和控制缺乏安全防护措施,控制面、业务面、用户面共用空口信道,但是没有进行安全隔离,不同网络用户缺少安全隔离机制。卫星通信厂商目前只为用户提供基本的通信服务,缺乏完善的通信安全防护措施。
【解决方案】
要彻底解决卫星通信的安全问题,用户需要督促卫星通信设备的供应商,升级卫星终端,尽量排除隐患。有条件的用户可以更换全国产的卫星通信系统,防止留存后门。
针对在用的卫星通信系统,如何提升其安全性?盛邦安全已发布卫星互联网安全解决方案,能从查、测、防等三个方面进行安全加固,主要包含以下内容:
1、卫星网络系统彻查
针对卫星互联网运营单位及用户,提供空口侧、地面侧的安全检查服务,包括通信体制、通信模块、链路层协议、互联网POP节点、地面信关站及终端漏洞的脆弱性分析,并能形成安全分析报告。
2、网络资产排查和分析
通过卫星互联网测绘,排查卫星通信网和地面专网的信息资产暴露面及脆弱面,摸清楚资产底数,建立安全基线。
3、业务网络与办公网络隔离
由于卫星通信相对昂贵,移动载体通常是利用一个卫星通信信道满足多种需求,包括上网,办公,工业控制等多种业务需求,这给安全防护带来了巨大挑战。基于卫星网络特殊性,通过密码定义网络边界技术,实现控制面、业务面、互联网面在波束共用时,终端接入和数据访问权限的安全隔离。
4、卫通通信的安全防护
提供卫星通信加密解决方案,保障卫星终端接入的安全和通信的加密防护,为卫星通信系统提供卫星信道的安全防护措施和终端接入的安全控制。
卫星互联网安全解决方案
盛邦安全持续关注卫星互联网安全技术研究与实践,了解相关解决方案请拨打服务热线:4006-911-199,或后台留言小编留下您的联系方式,将由我们的技术顾问为您提供服务。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...