美政府安全专家：俄罗斯黑客已在美国卫星网络驻留数月

关注我们

CISA安全专家称，Fancy Bear团伙通过VPN设备的未修补漏洞进入网络，并在内部横向移动，似乎已经在受害者网络中驻留数月之久。

前情回顾·卫星网络威胁态势

安全内参12月20日消息，美国网络安全与基础设施安全局（CISA）的研究人员最近发现，有可疑的俄罗斯黑客正潜伏在美国卫星网络中。对于正在迅速扩张的美太空经济而言，此次发现无疑引发了人们对于俄方实施渗透和破坏的担忧。

虽然攻击细节披露不多，但研究人员将此次事件归咎于名为Fancy Bear（又名APT28）的俄罗斯黑客组织。其攻击对象是一家卫星通信提供商，客户遍布美国各关键基础设施领域。

为响应关于可疑网络行为的提示，CISA研究人员于今年早些时候在卫星网络中搜查并发现了黑客踪迹。在上个月的CYBERWARCON网络安全会议上，CISA事件响应分析师MJ Emanuel在讨论此次事件时称，Fancy Bear似乎已经在受害者网络中驻留了数月之久。

太空安全已经成为全球愈发关注的重大问题，如今世界各地的关键行业和军队都高度依赖卫星开展重要通信、GPS和互联网访问。就在今年2月俄乌战争爆发前，为欧洲提供卫星互联网服务的美国电信企业Viasat曾遭受网络攻击，并导致乌克兰当地网络服务中断。官员们将此次攻击归因于俄罗斯，认为这是战争期间最为重大的数字攻势之一，也使得FBI与CISA就俄罗斯可能对卫星系统进行的其他渗透活动发出警告。

标准冲突、新厂商涌现，

太空网络安全面临噩梦

约翰霍普金斯大学专注太空网络安全的Gregory Falco教授认为，如今的卫星安全状况堪称“有史以来最关键、也最脆弱的时期”。在他看来，随着以往被严格限定在机密环境之内的漏洞与攻击模式愈发公开，卫星系统已无法再低调保持自己的安全运行状态。

Falco指出，航天工业缺乏标准导致安全方法之间相互冲突，这也是许多系统易受攻击的根源。“就安全态势而言，所有卫星通信企业都面临着一场可怕的噩梦。”

电气与电子工程师协会（IEEE）和国际标准化组织，正在努力为太空制定网络安全技术标准。但这些举措还需要数年时间才能真正成型。

网络安全专家还在关注其他问题，包括市场参与者的快速增加。根据英国宇航公司发布的一份报告，新厂商们可能并未充分关注安全，特别是那些着力提高制造效率、依赖商业部件降低产品成本的企业。

CISA发现的此次卫星网络入侵事件，就是安全防范松懈的实证。以此为跳板，攻击者可以获取渗透关键网络的网关。Fancy Bear利用的似乎是2018年在未修复VPN中发现的漏洞，其允许恶意黑客通过活动会话抓取所有凭证。

由于目标卫星通信提供商与普通账户共享同样的“应急”账户凭证，因此黑客可以使用窃取到的凭证登录应急账户，进而在系统中往来移动。Emmanuel表示，在入侵发生之时，该公司还在传输未经加密的监控和数据采集（SCADA）流量，其中很可能包含工业设备状态和来自控制中心的命令等数据。

网络安全公司QuSecure执行负责人、前DARPA卫星项目经理Aaron Moore表示，未加密的SCADA数据流并不少见。Moore称经由卫星通信的大部分SCADA流量都未经过端到端加密，而是经“引导”通过无数路径从地面站将信息传输至卫星、再返回地面接收站。因此，这类数据极易遭到拦截。

为了改善卫星通信行业的安全态势，CISA之前曾主张将太空技术指定为关键基础设施，借此让该行业更易获得情报共享支持与灾难规划资源。

虽然意见已提出一段时间，但似乎并未获得积极响应。美国国家网络总监Chris Inglis去年曾表示，“我们要迈开步子，向着关键部门、沿着这个思路前进。我们的关注重点在于如何跨越这些威胁。”

参考资料：cyberscoop.com