Ruslands angreb på Viasat-satellitter har afsløret, hvor sårbare rumbaserede aktiver er. En af de mest betydningsfulde cybersikkerhedshændelser i forbindelse med Ruslands krig mod Ukraine var et “mangesidet” angreb mod satellitudbyderen Viasats KA-SAT-netværk den 24. februar, en time før Ruslands invasion begyndte. Angrebet, som både Ukraine og vestlige efterretningsmyndigheder tilskriver Rusland, havde til formål at nedbryde ukrainernes nationale kommando og kontrol.
Angrebet, der var lokaliseret til et enkelt forbruger KA-SAT-netværk, der blev drevet på Viasats vegne af et andet satellitselskab, et Eutelsat-datterselskab kaldet Skylogic, forstyrrede imidlertid bredbåndstjenesten til flere tusinde ukrainske kunder og titusinder af andre faste bredbåndskunder i hele Europa. Den fremhævede også, hvordan rumbaserede aktiver, såsom satellitter, er lige så sårbare over for hacking som ethvert andet stykke kritisk infrastruktur.
På denne baggrund var timingen perfekt til Space Cybersecurity Symposium III, der var vært for US National Institute of Standards and Technology (NIST) i sidste uge. “De mangesidede og bevidste cyberangreb, der fandt sted under invasionen, understreger behovet for, at den amerikanske regering arbejder sammen med vores internationale partnere såvel som den private sektor for at styrke cyberrobustheden i eksisterende og fremtidige rumsystemer,” sagde Richard DalBello, direktør, US Office of Space Commerce, National Oceanic og Atmospheric Administration, ved starten af topmødet.
“Selvom efterretningssamfundet og regeringen er fokuseret på spørgsmålet, forbliver dets bidrag til en gennemsnitlig persons daglige liv stort set usynligt på en måde, som andre nationale sikkerhedsspørgsmål som terrorisme, ekstreme vejrforhold eller endda tværnational organiseret kriminalitet ikke er,” sagde Holly Shorrock, efterretningsanalytiker ved US Department of Homeland Security.
Rumsystemer står over for cybertrusler
Shorrock forklarede, at ethvert rumsystem består af tre komponenter: jord-, rum- og linksegmenter. “Hvert af disse tre segmenter er sårbart over for cyberangreb,” sagde hun. “Det kan overraske nogle af jer, fordi tidligere antagelser var, at rumsystemer generelt er isoleret fra cybertrusler. En anden antagelse var, at kommercielle systemer også var noget isolerede. Men landskabet i rummet har ændret sig markant, og nu er regeringer og militærer afhængige af kommercielle systemer, så vores forståelse af cybertrusselsbilledet har også ændret sig markant.”
Selvom alle tre komponenter er sårbare over for cyberangreb, er jord- og linksegmenterne de mest attraktive og nemmeste angrebsvektorer, som de viste sig at være i Viasat-angrebet. Lancering af et cyberangreb på aktiver i rummet er angrebet af sidste udvej, sagde Shorrock.
Afsmittende virkninger er et kritisk problem
Shorrock fortalte symposiumdeltagerne, at hvis de er opmærksomme på en ting, når det kommer til satellit-cyberangreb, er det, at de kan have skadelige afsmittende virkninger. “Uanset hvilke segmenter der angribes, kan et angreb på et rumsystem, der er placeret inde i en konfliktzone, have afsmittende virkninger uden for denne zone, væk fra konfliktområdet, hvilket påvirker virksomheder og andre forbrugere af rumbaserede tjenester langt ud over konfliktens grænser,” siger hun.
De afsmittende virkninger kan vare ved i flere uger eller endda måneder efter angrebet, hvilket potentielt kan forårsage omdømmemæssig skade for tjenesteudbyderen og rejse spørgsmål om pålideligheden af rumtjenester. Derudover, “Det målte firma vil næsten helt sikkert pådrage sig de økonomiske byrder ved at genoprette service, rette hardware og på anden måde afbøde angrebet.”
Afsmitningerne fra Viasat-angrebet strakte sig angiveligt til Marokko, hvor nogle af virkningerne varede i over en måned. Shorrock var et eksempel på et tysk energiselskab, der mistede fjernovervågning og kontrol af 5.800 vindmøller. “Mere end en måned efter cyberangrebet forblev 193 vindmølleparker forstyrret,” sagde hun. “Ifølge energiselskabet forårsagede denne forstyrrelse angiveligt, at overvågningen af vindmølleparkens data blev taget offline, hvilket gjorde vindenergiomformeren sårbar over for yderligere angreb fra cyberkriminelle eller andre ondsindede aktører.”
Rusland har også lanceret separate spoofing og jamming angreb mod Ukraine
Moskva har tyet til andre former for satellitangreb, herunder spoofing og jamming af signaler, siden det invaderede Ukraine, sagde Shorrock. “Spoofing af globale navigationssatellitsystemer [NSS], hvoraf GPS er en type, er både let og billigt, hvilket gør det til en attraktiv taktik for kriminelle organisationer og militærer. Især Rusland har været offentligt forbundet med denne taktik siden 2017 og har anvendt den i den nuværende konflikt med Ukraine med dokumenterede afsmittende virkninger, der påvirker infrastruktur og forretningsaktiviteter uden for konfliktzonen.”
Som det var tilfældet med Viasat-angrebet, skabte Ruslands spoofing af NSS også skadelige afsmittende virkninger. “Ifølge rapporter i EU’s luftfartssikkerhedsindustri er signaler som GPS nær grænserne til konfliktzonen og i andre områder, der strækker sig så langt som til Israel, blevet fastklemt og forfalsket under hele konflikten mellem Rusland og Ukraine.
De afsmittende virkninger fra denne jamming og spoofing har påvirket luftfartssektoren, hvilket får nogle flyvninger til at blive jordet i op til en uge, sagde Shorrock. “Nogle fly måtte vende kursen midt om på flyvningen, og i mindst et andet tilfælde forårsagede disse afsmittende virkninger, at flyet ikke var i stand til sikkert at udføre landingsmanøvrer.”
Ruslands signalstop har ligeledes forårsaget skader i Ukraine. Et andet selskab, der leverer satellitkommunikation i Ukraine, blev angiveligt offer for russisk jamming af dets signaler. I det tilfælde udtalte lederen af virksomheden offentligt, at virksomhedens andre projekter kan blive forsinket på grund af, at virksomheden er nødt til at omdirigere sine ressourcer for at imødegå de elektroniske angreb,” sagde Shorrock.
Viasats lærerige oplevelse
Phil Mar, vicepræsident og CTO for regeringssystemer hos Viasat, sagde, at da NIST sidste år inviterede ham til at tale på topmødet, “tænkte jeg, at jeg faktisk ville bruge en hypotetisk cyberbegivenhed til at sætte scenen, som jeg har gjort mange gange, når jeg taler på en konference som denne. Jeg er altid utilpas ved at tale på vegne af, hvad der skete med andre mennesker. Men som citatet fra musicalen Hamilton sagde, var jeg i rummet, da dette skete. Så jeg vil faktisk bruge en rigtig begivenhed denne gang.”
Mar sagde, at Skylogic tidligt den 24. februar begyndte at opleve forringelser, og “Vi observerede virkelig store mængder ondsindet trafik, der ramte netværkene fra flere kunders modemer og det tilhørende kundeforudsætningsudstyr.” Viasat og Skylogic personale arbejdede for at skubbe ondsindet trafik ud af netværket, men begyndte derefter at observere modemer, der faldt fra netværket.
I sidste ende blev tusindvis af modemer droppet fra netværket under angrebet uden nogen observeret indsats for at få dem tilbage online. Senere netværksanalyse identificerede jordbaserede netværksindtrængen, der udforskede forskellige konfigurationer for at få adgang til satellitudbyderens administrationssegment af netværket.
Angrebet bevægede sig ensidigt gennem det betroede netværk og til en bestemt netværkssession, som virksomheden bruger til at styre og drive netværket. Angrebet udførte målrettede kommandoer på et stort antal boligmodemer for at tilsidesætte kritiske data i flashhukommelsen for at gøre modemerne ude af stand til at få adgang til netværket.
Viasats retsmedicinske hold var i stand til at reversere angrebet på cirka 24 timer og starte restaureringen af netværkene. “I dette særlige tilfælde lærte vi meget. Vi lærte [hvilken teknik der ville fungere, og hvad] gjorde os i stand til at genoprette netværket så hurtigt og i tilbageblik, hvad vi kan gøre bedre.”
Kilde: CSOonline
Foto: Pexels