CISA安全专家称,Fancy Bear团伙通过VPN设备的未修补漏洞进入网络,并在内部横向移动,似乎已经在受害者网络中驻留数月之久。

12月20日消息,美国网络安全与基础设施安全局(CISA)的研究人员最近发现,有可疑的俄罗斯黑客正潜伏在美国卫星网络中。对于正在迅速扩张的美太空经济而言,此次发现无疑引发了人们对于俄方实施渗透和破坏的担忧。

虽然攻击细节披露不多,但研究人员将此次事件归咎于名为Fancy Bear (又名APT28)的俄罗斯黑客组织。其攻击对象是 一家卫星通信提供商,客户遍布美国各关键基础设施领域

为响应关于可疑网络行为的提示,CISA研究人员于今年早些时候在卫星网络中搜查并发现了黑客踪迹。在上个月的CYBERWARCON网络安全会议上,CISA事件响应分析师MJ Emanuel在讨论此次事件时称, Fancy Bear似乎已经在受害者网络中驻留了数月之久

太空安全已经成为全球愈发关注的重大问题,如今世界各地的关键行业和军队都高度依赖卫星开展重要通信、GPS和互联网访问。就在今年2月俄乌战争爆发前,为欧洲提供卫星互联网服务的美国电信企业Viasat曾遭受网络攻击,并导致乌克兰当地网络服务中断。官员们将此次攻击归因于俄罗斯,认为这是战争期间最为重大的数字攻势之一,也使得FBI与CISA就俄罗斯可能对卫星系统进行的其他渗透活动发出警告。


标准冲突、新厂商涌现,


太空网络安全面临噩梦


约翰霍普金斯大学专注太空网络安全的Gregory Falco教授认为,如今的卫星安全状况堪称“有史以来最关键、也最脆弱的时期”。在他看来,随着以往被严格限定在机密环境之内的漏洞与攻击模式愈发公开,卫星系统已无法再低调保持自己的安全运行状态。

Falco指出, 航天工业缺乏标准导致安全方法之间相互冲突,这也是许多系统易受攻击的根源。“就安全态势而言,所有卫星通信企业都面临着一场可怕的噩梦。”

电气与电子工程师协会(IEEE)和国际标准化组织,正在努力为太空制定网络安全技术标准。但这些举措还需要数年时间才能真正成型。

网络安全专家还在关注其他问题,包括市场参与者的快速增加。根据英国宇航公司发布的一份报告, 新厂商们可能并未充分关注安全,特别是那些着力提高制造效率、依赖商业部件降低产品成本的企业。

CISA发现的此次卫星网络入侵事件,就是安全防范松懈的实证。 以此为跳板,攻击者可以获取渗透关键网络的网关。Fancy Bear利用的似乎是 2018年在未修复VPN中发现的漏洞,其允许恶意黑客通过活动会话抓取所有凭证。

由于目标卫星通信提供商与普通账户共享同样的“应急”账户凭证,因此黑客可以使用窃取到的凭证登录应急账户,进而在系统中往来移动。Emmanuel表示,在入侵发生之时,该公司还在传输未经加密的监控和数据采集(SCADA)流量,其中很可能包含工业设备状态和来自控制中心的命令等数据。

网络安全公司QuSecure执行负责人、前DARPA卫星项目经理Aaron Moore表示, 未加密的SCADA数据流并不少见。Moore称经由卫星通信的大部分SCADA流量都未经过端到端加密,而是经“引导”通过无数路径从地面站将信息传输至卫星、再返回地面接收站。因此,这类数据极易遭到拦截。

为了改善卫星通信行业的安全态势,CISA之前曾主张将太空技术指定为关键基础设施,借此让该行业更易获得情报共享支持与灾难规划资源。

虽然意见已提出一段时间,但似乎并未获得积极响应。美国国家网络总监Chris Inglis去年曾表示,“我们要迈开步子,向着关键部门、沿着这个思路前进。我们的关注重点在于如何跨越这些威胁。”

参考资料:cyberscoop.com