太空竞赛：卫星网络攻击催生太空网络防御措施

2022年，太空领域基础设施遭遇网络攻击已成现实，两个机构分别提出安全框架，旨在领先未来太空网络攻击一步。

这两个框架的目标不仅仅在于更好地了解潜在威胁（就适用于太空领域的传统战术、技术与程序（TTP）而言），也在于帮助公司和政府机构创建应对卫星和航天器攻击的对策。

2023年1月3日，美国国家标准与技术研究所（NIST）和美国政府承包商MITRE公司共同发布了适用于太空领域地面部分的《NIST网络安全框架》。这份NIST出版物补充了非营利政府承包商The Aerospace公司的另一项工作：去年10月创建的太空攻击研究与战术分析（Sparta）矩阵。该矩阵是适用于天基基础设施威胁的一版MITRE ATT&CK框架。

网络攻击现已指向卫星

2022年年初，美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）警告称，针对卫星地基与天基基础设施的攻击可能变成现实。很快，这一警告应验了。去年之中，Viasat和SpaceX的星链卫星集群都遭遇了民族国家的攻击，各国政府和航空航天公司被迫设立各种应对攻击的防御措施。

例如，俄乌冲突之初，配合俄罗斯的黑客就攻击了Viasat卫星通信网络的地面部分，令整个欧洲的互联网调制解调器统统掉线。之后不久，政府官员和SpaceX首席执行官马斯克爆料，俄罗斯攻击了为乌克兰提供互联网连接的分布式卫星互联网服务星链（Starlink）。

去年5月时，马斯克在推特上声明：“截至目前，星链挡住了物联网的网络战干扰和黑客攻击，但攻击者正加紧努力。”

去年11月，星链再遭攻击，与俄罗斯有关的高级持续性威胁Killnet对星链展开了DDoS攻击活动，致使该服务数小时内无法访问。

由此推论，卫星也可能成为非网络攻击的目标。例如，有研究人员提出，可在地表上空数十公里实施千万吨级核爆，上升的放射性粒子在近地轨道上形成辐射云，致瘫星链卫星。

太空网络攻击非特例

太空领域的网络攻击者多为民族国家支持的APT，常以致瘫卫星和航天器为目标。但当下很多地面卫星基础设施采用通用的计算机和通信技术，可能会为其他类型的攻击者也敞开大门。

最近，在知名网络安全新闻网站Dark Reading的专栏中，国防和政府承包商BAE Systems Digital Intelligence的太空安全负责人Neil Sherwin Peddie表示，通用技术的相似之处使攻击者更容易利用这些卫星支持系统，而复杂的供应链亦使得基础设施更容易受到攻击。

他写道：“卫星实际上就是装载了嵌入式系统和接口的平台，包括无线电通信、遥测跟踪控制系统和地面段连接。这些基本上都是企业网络，但也是网络罪犯的可乘之机。”

Viasat所遭攻击由两个部分组成，凸显出已知攻击方法稍加调整即可用于攻击地基和天基卫星系统。

根据Viasat咨询通报，攻击者先利用了“VPN设备中的错误配置来获得对地基网络的远程访问权”。然后，攻击者发现并入侵卫星网络的管理网络，向地面调制解调器发出指令。

该公司表示：“具体而言，这些破坏性指令重写了调制解调器闪存中的关键数据，使调制解调器无法访问网络，但无法使用的情况不是永久性的。”

独立网络安全研究人员Ruben Santamarta在后续分析中指出，这些指令执行的功能类似于数据擦除器攻击，通过重写关键数据来中断操作，是网络-物理攻击的常见手法。

新攻击途径昭然若揭 

The Aerospace网络评估和研究部高级项目负责人Brandon Bailey表示：“航天器将变得愈加自动化，因此我们需要更多的机载自治网络防护。也就是说，未来我们必须在航天器上集成网络分隔、身份验证、加密和入侵检测与防御等保护措施。”

卫星网络安全框架统纳天地

NIST卫星地面段网络安全框架（NIST-IR-8401）基于通用网络防御方法，包括五大功能：资产及其网络风险识别、资产保护技术与程序开发、攻击检测功能、事件响应所需的基础设施，以及从攻击中恢复的能力。

NIST-IR-8401中写道：“地面段变得愈加互联，更多仰赖基于云的地面基础设施，但传统太空任务和太空飞行器本身使用的是定制的软件和硬件，而这些软硬件通常并不是为融入现代高度互联的网络生态系统而生的。对于可能早在安全最佳实践开发出来之前就创建的老旧组件，或者采用过时安全措施的组件，这就很成问题了。”

Sparta框架旨在涵盖对天基组件（如卫星、航天器和其他系统）的网络攻击。Bailey表示，该框架将随太空领域的发展和攻击者所用TTP的变化而发展和变更。

“航天器端的网络是个相对较新的领域；因此，随着PCSpoof等漏洞的披露，我们也将补充TTP和相应的对策。我们还计划与太空信息共享与分析中心（Space-ISAC ）合作，随着框架的不断成熟，我们将纳入已识别的威胁信息和TTP。”