编者按
瑞士苏黎世联邦理工学院安全研究中心(CSS)风险与弹性团队网络防御项目的高级研究员克莱门斯·普瓦里尔近日发布报告,调查俄乌战争期间针对太空部门的网络行动,讨论针对太空部门开展各种类型的网络攻击以及针对的实体类型,分析网络威胁行为者的行为及其利益和动机,探讨网络行动的政治和战略影响及其对外层太空军事化和武器化的影响,并提出对策建议。
报告主要发现包括:俄乌战争导致太空基础设施面临网络攻击的风险发生转变;该报告确定了俄乌战争背景下针对太空部门进行的124起网络行动,所确定的行动可能只是冰山一角;124次网络行动均针对地球上的目标太空系统和公司,未影响到太空系统;57个太空领域实体成为网络行动的目标,其中大多数是航天公司;12个亲乌克兰组织和19个亲俄罗斯组织针对太空领域开展网络行动,行动数量基本旗鼓相当;黑客组织并不专门针对太空系统,甚至使用大语言模型来更好地理解太空系统以及如何瞄准;大多数针对太空领域的行动都是分布式拒绝服务攻击,恶意数据擦除软件攻击并不常见;黑客活动团体开展的行动最为普遍,国家行为者实施的行动最为复杂;自我归因在黑客活动团体中正变得司空见惯,政府对针对太空部门的网络行动的公开归因仍然很少;虽然大多数针对太空领域的网络行动都与俄乌战争有关,但未发现与动能行动协同开展的网络行动;太空是令黑客团体着迷的话题,既是与社区互动的方式,也是终极挑战。
报告讨论了针对太空部门进行的网络行动的类型,以及在俄乌战争背景下威胁行为者针对的太空实体的类型。在124起网络行动中,分布式拒绝服务攻击占65%,对太空系统和公司的入侵占11%,黑客和泄密操作占9%,数据泄露、恶意软件或漏洞利用占2%,恶意数据擦除软件仅占1%;95%的DDoS攻击针对用户界面,即目标太空实体的IT环境,大多数情况下是其网站和在线身份验证门户,5%的DDoS攻击针对用户群,通常是用户调制解调器或接收器;61%的网络行动针对航天公司,32%针对政府航天机构,3%针对研究机构,4%针对的是公共媒体报道中未透露其身份的太空系统或实体;48%的亲乌克兰行动针对俄罗斯太空部门,而52%的亲俄罗斯行动针对乌克兰和西方太空部门,其中13%针对乌克兰实体、23%针对美国实体、4%针对法国实体、2%针对欧洲航天局;76%的网络行动针对用户界面,10%针对用户群体,3%针对软件供应链,2%针对地面部分,9%目标不明;太空领域至少57个不同目标受到冲突双方网络行动的影响,60次行动(48%)针对俄罗斯航天领域的23个组织,64次行动(52%)针对西方和乌克兰航天领域的34个组织,其中16次行动专门针对乌克兰航天领域。
报告概述了俄乌战争中以太空部门为目标的各种黑客组织、其行为方式、对战场活动的影响以及与政府的关系。报告称,虽然ViaSat网络攻击由国家行为者发起,但随后的攻击主要来自黑客活动组织,在124起行动中有116起由黑客活动组织实施;威胁行为者的活动表明不应简单地二元划分为独立运作的黑客活动团体和国家行为者,黑客组织与政府的联系多种多样,包括毫无关联、存在协调和交换、获得政府认可、渴望政府联系和支持、可能是政府的掩护等;国家行为者也将目标瞄准了太空部门,已确定的国家行为者的活动很可能只是“冰山一角”;威胁行为者不一定专门针对太空系统,还未出现专门针对太空系统的组织,大多数威胁行为体并不熟悉太空领域;威胁行为者可能伪称或夸大网络攻击,但上述表态难以被证实或揭穿,虚假自我归因仍然可以产生负面影响,包括破坏信誉和信任、制造恐惧和恐慌等;大多数已识别的行动实际上并未针对太空系统本身,而只是针对卫星服务、网络或公司的网站,不会影响在轨卫星、用户、行动或目标组织,但是达到了利用网络行动来传达政治或社会叙事的目的;黑客行动可能与更广泛的政府目标并不一致,政府可能认为黑客组织的行动对于实现其目标毫无用处,国家容忍的攻击非常常见,但国家支持的攻击则较少见;太空是令黑客着迷的对象和热点讨论话题,也是黑客网络行动的终极挑战。
报告讨论了俄乌战争中针对太空领域的网络行动的政治和战略利害关系,概述了冲突在威胁形势演变中的作用及其对外太空军事化和武器化的影响。报告称,针对太空系统的网络攻击在武装冲突中愈发普遍,俄乌战争使得战时卫星遭受网络攻击的可能性发生了变化,预计针对卫星网络的网络攻击在未来的冲突中将变得更加普遍,并且黑客组织将继续对太空系统保持兴趣;太空尚未通过网络手段武器化,虽然网络冲突扩展到了太空系统,但仍然局限于地球上的系统,尚未蔓延到轨道环境中的物体,然而这足以扰乱太空服务的机密性、完整性或可用性,随着各国稳步发展反太空能力并观察太空中的敌对行为,外层太空武器化正在缓慢但稳步地增加;大多数网络攻击不属于联合行动,未发现任何与陆海空行动相协调的攻击,进入卫星网络并在正确的时间发动攻击需要复杂的网络攻击能力以及与其他武装部队的协调能力;尽管大多数网络行动独立于陆地行动进行且后果甚微,但部分网络行动影响了战场中的太空使用;以平民为目标引发了对此类行动合法性以及国际人道主义法在太空和网络空间的适用性的质疑,并引发各国对非法活动的容忍度以及触发反应的特定阈值的质疑; 黑客行动主义团体中出现了一种新趋势,即亲俄罗斯和亲巴勒斯坦团体开始组建黑客联盟,未来有可能开展联合活动。
报告提出四项主要建议:一是太空部门应建立网络缓解措施、最佳实践、与工业和商业行为体的协调机制以及攻防行动的职责;二是太空部门应更加关注网络威胁情报,特别是针对黑客组织,以便更好地了解其行为和能力;三是太空部门应积极揭穿黑客组织的虚假网络行动自我归因;四是太空部门应支持太空信息共享和分析中心的发展,以全面了解威胁形势。
奇安网情局编译有关情况,供读者参考。
《黑掉宇宙:针对太空部门的网络行动
(乌克兰战争的案例研究)》(摘译)
介绍
鉴于ViaSat黑客事件的重要性,这份网络防御报告调查了乌克兰战争期间(2022年2月至2024年9月)针对太空部门发生的所有其他网络行动。该报告调查了这些行动的影响及其实施者及其在俄乌冲突的大背景下的意义。
该报告将重点放在太空领域,原因在于ViaSat黑客事件给全球太空领域敲响了警钟,它使网络安全成为长期以来忽视这一话题的领域的焦点。针对太空系统的网络威胁也越来越多地得到政府政策的认可,并明确引用ViaSat作为一个令人担忧的例子(例如,欧盟网络防御政策)。在某种程度上,ViaSat黑客事件引发了人们对该行业抵御网络威胁的能力、缺乏缓解措施以及航天工业和政府机构的整体网络准备情况的恐慌。此外,“星链”在乌克兰使用的重要性以及SpaceX以牺牲其他重大项目为代价重新分配资源用于网络防御和反干扰措施,可能表明在俄乌战争和其他未来冲突的背景下,其他网络活动可能已经或预计会针对卫星系统发生。
此外,尽管ViaSat黑客事件导致了有关太空网络安全的各种出版物,但目前还没有任何文献可以全面概述在俄乌战争背景下针对太空部门进行的所有网络行动。本报告旨在填补这一空白。
为实现这些目标,本报告编制了在俄兰战争背景下针对太空部门进行的124 次公开网络行动的数据集。该数据集仅包括针对太空部门开展的行动,太空部门被理解为涉及太空系统的设计、生产、操作、管理和使用的广泛的系统、服务、计算机、公司和组织(包括其数据)上下游及航天供应链的服务。该报告显示,冲突双方约35个威胁行为者(包括黑客活动分子和国家行为者)针对太空领域开展了重大网络活动。该报告深入研究了亲俄罗斯和亲乌克兰黑客组织的动态,以及针对与冲突相关事件的太空部门的网络行动的节奏。本网络防御报告中提供了选定的攻击示例。
第一章讨论针对太空部门进行的各种类型的攻击以及针对的实体类型。第二章深入了解威胁行为者的行为及其利益和动机。第三章探讨网络行动的政治和战略影响及其对外层太空军事化和武器化的影响。
报告主要发现:
俄乌战争导致太空基础设施面临网络攻击的风险发生转变。
该报告确定了124起网络行动,据称这些行动是在俄乌战争背景下针对太空部门进行的。
鉴于缺乏公开报告,所确定的行动可能只是冰山一角。
所有124次网络行动都确定了地球上的目标太空系统和公司。没有已识别的行动影响了太空系统。
太空领域的57个不同实体成为网络行动的目标。其中大多数是航天公司。
亲俄罗斯(52%)和亲乌克兰(48%)的网络行动比例均衡。
12个亲乌克兰组织和19个亲俄罗斯组织将太空领域作为目标。
黑客组织并不专门针对太空系统。有些人甚至使用大语言模型(LLM)来更好地理解太空系统以及如何瞄准它们。
大多数针对太空领域的行动都是分布式拒绝服务(DDoS)。
恶意数据擦除软件(例如Viasat黑客攻击中部署的恶意软件)并不是常见的攻击类型。
黑客活动团体开展的行动最为普遍。国家行为者实施的行动最为复杂。
自我归因在黑客活动团体中正变得司空见惯。政府对针对太空部门的网络行动的公开归因仍然很少。
虽然大多数针对太空领域的网络行动都与俄乌战争有关,但没有发现与动能行动同时开展的网络行动。
太空是黑客团体着迷的一个话题,它既是与社区互动的方式,也是终极挑战。
该报告涵盖2022年2月24日至2024年9月20日期间。它包括冲突双方的国家和非国家行为者针对太空系统进行的大多数(如果不是全部)公开的网络行动。本报告的研究分三个步骤进行。首先,作者使用澳大利亚威胁情报研究者“CyberKnow20”创建的威胁行为者地图作为其案头研究的基础。其次,作者编制了一个数据库,其中包含所有已识别的针对太空部门的网络攻击,包括自我归因、公开归因和非归因攻击。第三,作者分析了数据库和个人操作,以确定影响网络空间中和通过网络空间影响太空部门的潜在趋势。
一、太空部门的主要目标
本章讨论了针对太空部门进行的网络行动的类型,以及在乌克兰战争背景下威胁行为者针对的太空实体的类型。提供了一些选定的例子来说明报告的研究结果。
在已识别的124起网络行动中,65%是分布式拒绝服务(DDoS)攻击,11%是对太空系统和公司的入侵。9%的攻击是黑客和泄密操作。2%是数据泄露、恶意软件或漏洞利用造成的。恶意数据擦除软件的部署(例如ViaSat黑客事件)相当罕见。它仅占已发现案例的1%。
数据集中大量的DDoS攻击可能是黑客活动团体更广泛的行为趋势的一部分。然而,需要强调的是,DDoS也很容易被研究人员验证,并且通常是由威胁行为者自行归因。DDoS攻击本质上几乎总是暂时的,很少影响目标行为者的活动或太空系统。已确定的DDoS操作并未针对轨道上的卫星。事实上,大多数攻击根本不针对任何太空系统。绝大多数(95%)的 DDoS 攻击都针对用户界面,即目标太空实体的IT环境,在大多数情况下是其网站和在线身份验证门户。5%的 DDoS 针对用户群,通常是用户调制解调器或接收器。
尽管公开报道有限,但国家和国家资助的行为者可能开展了最复杂的行动。对系统的入侵通常只有受害者才能看到。因此,如果入侵没有公开披露,就很难用开源方法来映射。数据集说明了这种动态,因为大多数非自我归因的操作是最复杂和最有影响力的。
在124个行动中,最具针对性的实体类型是航天公司。在已确定的行动中,61%针对航天公司,32%针对政府航天机构,3%针对研究机构。其余4%的行动针对的是公共媒体报道中未透露其身份的太空系统或实体。
这个结果并不令人意外。乌克兰没有主权卫星,更不用说军事卫星了。因此,许多商业太空系统和服务在冲突中被使用,这使太空公司前所未有地受到关注,从而引起了威胁行为者的注意。
48%的亲乌克兰行动针对俄罗斯太空部门,而52%的亲俄罗斯行动针对乌克兰和西方太空部门。其中,13%是乌克兰实体,23%是美国实体,4%是法国实体,2%是欧洲航天局。总体来看,双方的攻击量基本持平。
76%的已识别网络行动针对用户界面。因此,它是最常见的切入点。10%的行动针对用户群体。其中3%影响了软件供应链。2%的行动针对地面部分。9%的案例中,目标细分并未公开披露。
太空部分似乎没有成为目标。威胁行为者很可能试图这样做,但迄今为止尚未公开披露成功的行动。
开源地图显示,太空领域至少57个不同目标受到冲突双方网络行动的影响。60次行动(48%)针对俄罗斯航天领域的23个组织。64次行动(52%)针对西方和乌克兰航天领域的34个组织。其中,16次行动专门针对乌克兰航天领域。
值得注意的是,亲俄罗斯的攻击在不同的西方和乌克兰太空目标中更为广泛,而亲乌克兰的行动则集中在少数俄罗斯目标上,特别是俄罗斯国家技术集团(Rostec)和俄罗斯国家航天集团(Roscosmos)。
1、俄罗斯国家航天集团:象征性目标
俄罗斯国家航天集团一直是亲乌克兰团体的象征性且反复出现的目标,约占亲乌克兰针对俄罗斯太空部门的所有攻击的24.6%。这些攻击大多数是针对俄罗斯国家航天集团不同网站以及该机构的在线身份验证门户进行的DDoS活动。 针对俄罗斯国家航天集团网络行动时,可以区分两个不同的阶段。2022年2月至2022年7月:总共15次行动中,有13次是在2022年2月至7月期间开展的。2022年7月起:针对俄罗斯国家航天集团的一些网络行动仍然发生,但总体攻击数量大幅下降。
2、“星链”:俄罗斯威胁行为者的主要目标?
对威胁行为者社交媒体账户的分析显示,黑客活动分子经常提到“星链”。考虑到“星链”对乌克兰军事行动的重要性及其平民连接互联网的能力,人们会认为针对“星链”的网络行动数量将会非常多。令人惊讶的是,我们的数据集仅显示了有限数量的针对“星链”的行动。作者发现了4起针对“星链”的攻击,其中3起是由亲俄罗斯黑客组织Killnet 和俄罗斯APT组织Sandworm(即GRU的第74455 部队)发起的。Killnet对“星链”的官方网站和身份验证门户进行了2次DDoS攻击。Sandworm渗透到了乌克兰的安卓平板电脑中,乌克兰士兵使用这些平板电脑并连接到“星链”,以检索有关卫星星座的信息。值得注意的是,与太空部分的许多其他攻击相比,这3起案件的媒体化程度很高,说明了“星链”作为亲俄罗斯威胁行为者目标的高度价值。
事实上,俄乌双方的黑客组织都有兴趣通过网络行动瞄准“星链”,因为它可能对前线产生重大影响。例如,“乌克兰IT军队”发言人表示,俄罗斯正在战场上使用“星链”,如果该组织“能够中断俄罗斯行政点附近的通信,他们将无法从前线看到无人机提供的数据。”
3、地球观测公司遭受攻击
ViaSat黑客攻击事件后,地球观测公司开始意识到他们的威胁模型正在演变,呼吁增强网络安全和网络防御能力。它在地球观测行业内引起了一些恐慌,网络攻击的数量有所增加。在整个报告中,我们在已识别的威胁行为者的社交媒体渠道中搜索了有关地球观测公司的信息,特别是那些向乌克兰公开提供图像的公司。黑客组织有时会使用和讨论卫星图像。有些人利用现成的卫星图像来达到虚假信息的目的。其他人可能会修改此类图像以用于信息战,但此类行动通常仅限于专门从事该领域的团体,并且不进行其他类型的网络行动,因此不包含在报告范围内。
数据集中已识别的行动针对Maxar等一些地球观测公司,同时开展DDoS攻击和凭证盗窃。有趣的是,亲俄罗斯黑客组织“俄罗斯网络军队”的两次行动旨在针对芬兰微型卫星制造商和运营商ICEYE,但最终影响了欧洲航天局,这表明未参与冲突的行为者如何最终成为目标,这需要太空行为者的更大威胁模型。涉及地球观测等各个垂直领域的公司也成为DDoS攻击的目标(例如Leonardo)。然而,它们很少因其特定的遥感活动而成为目标。其他行动针对地球实体,包括美国国家地理空间情报局和美国国家航空航天局的在线气候门户网站、美国国家海洋和大气管理局的数据库、美国地质调查局数据库、欧洲航天局气候门户网站、法国国家空间研究中心的ANGELS 网站或俄罗斯远东空间水文气象科学研究中心“Planet”。
4、指导策略:针对球导航卫星系统的网络威胁
在我们的数据集中发现的124起网络操作中,有12起是由黑客组织针对卫星导航进行的。从攻击类型来看,64%是针对基于全球导航卫星系统(GNSS)系统或公司的 DDoS攻击。36%是入侵。其中51%是为了支持俄罗斯而进行的。他们瞄准了基于GPS的企业,例如波兰公司Flotis、乌克兰公司Locarus或美国公司Garmin和TrafficView。47%的行动是为了支持乌克兰而进行的。他们的目标是克里姆林宫周围的GNSS接收器、俄罗斯水力发电厂周围的GNSS接收器、俄罗斯全球导航卫星系统GLONASS 的网站以及俄罗斯网站GPSUpdate.ru。这个样本虽然很小,但可以提供一些见解。首先,没有一次攻击成功针对在轨GNSS卫星。大多数攻击针对的是地面部分、用户部分或用户界面。其次,这些行动说明了依赖GNSS运行的下游应用程序和公司如何成为网络行动的目标(例如Locarus、Flotis)。第三,虽然全球导航卫星系统具有双重用途,但其中大多数目标是民用目标,与俄乌冲突没有任何关系。
GNSS系统被视为冲突中的重要资产,引起了黑客活动分子的注意。尽管可能发生过,但没有发现任何由国家资助的行为者进行的行动。它们根本没有被公开报道。
5、航空航天和国防公司:太空是附带损害
在已确定的124起行动中,有35起针对制造太空系统或组件的航空航天和国防集团。它代表了针对太空部门的大量行动,因此分析很重要。
18次亲乌克兰行动针对的是俄罗斯航空航天和国防公司。这些仅包括“乌克兰IT军队”和 Cyber Palyanitsa 针对俄罗斯国家技术集团网站开展的简单DDoS操作。17次亲俄罗斯行动的目标是西方航空航天和国防公司。其中包括更复杂的操作,例如黑客和泄密操作以及针对洛克希德·马丁公司的漏洞利用,这些操作是由From Russia With Love、Killnet及其子组织Legion Cyber Spetsnaz开展的;或Just Evil发布的法国赛峰集团数据泄露事件。其他操作是针对波音、Leonardo、雷神技术公司、Hensoldt和JSC Kiev Radar Plant网站的简单DDoS攻击。可能发生了其他行动,但只是没有公开报道。
航空航天和国防公司之所以成为目标,主要是因为它们制造国防设备,而不是因为它们的太空活动。黑客活动团体通常会提到这些公司正在制造的特定设备以及它们如何在战场上使用。其中一些行动可能与向乌克兰交付武器有关的公告有关,尽管这不是大多数。
威胁行为者甚至可能不知道这些公司参与了太空活动。在某些情况下,黑客在针对国防公司时甚至惊讶地发现有关太空的信息。Killnet针对洛克希德·马丁公司的行动就是如此,该公司主要披露了其与美国国家航空航天局合作的信息。因此,太空领域可以被视为针对国防公司的一些网络行动的附带损害。
二、理解威胁行为者的行为
本章概述了俄乌战争中以太空部门为目标的各种黑客组织、他们的行为方式、对战场活动的影响以及他们与政府的关系。
1、黑客组织进入太空
虽然针对ViaSat的网络攻击是由国家行为者发起的,但随后的攻击主要来自黑客活动组织。在124起行动中,有116起是由黑客活动组织实施的。
纵观这场冲突中网络行动的大局,澳大利亚威胁情报研究者CyberKnow20的威胁行为者名单和网络威胁情报工作表明,亲俄罗斯的黑客行动组织比亲乌克兰的组织数量更多。他评估称,亲乌克兰团体的数量较少,并且集中在几个非常大的团体中,例如组织良好且集中了大部分行动的“乌克兰IT军队”。CyberKnow20还评估称,与“匿名者”相关的组织通常是亲乌克兰的,他们在针对俄罗斯开展行动的同时,也出于其他动机继续攻击其他目标。
对于针对太空部门的威胁行为者和网络行动,这一评估也是正确的。该映射确定了12个亲乌克兰黑客组织和19个针对太空领域的亲俄罗斯黑客组织。俄罗斯和乌克兰政府也被认定为威胁行为者。大多数亲乌克兰攻击是由“乌克兰IT 军队”和V0g3lSec发起的。针对太空领域最活跃的亲俄罗斯组织是NoName(057)16和Killnet。“匿名者”相关组织对太空领域进行了各种攻击,其中一些是出于俄乌战争的动机,而另一些则是出于其他原因,例如以巴冲突、性别相关问题等。一些组织正在谈论在不认领攻击的情况下侵入卫星(例如,AndraxRU开玩笑说侵入NASA卫星)。
一些黑客活动组织的成员不仅是乌克兰或俄罗斯公民。有些团体由西方公民领导,例如OneFist或V0gl3Sec。许多团体将来自不同国家的个人聚集在一起,并在其Telegram频道上积极招募候选人。
2、黑客行动主义暴露:多方面的政府关系
威胁行为者的活动表明,人们应该超越独立运作的黑客活动团体与国家行为者间的二元区别。已识别的威胁行为者展示了黑客组织与其政府可能存在的联系程度:
大多数黑客组织似乎与他们支持的政府没有任何联系。
一些团体正在与政府协调和交换某些行动(例如“乌克兰IT军队”、Kyber Sprotyv)。
有些团体不直接与政府合作,但其行为会获得官方认可任证(例如OneFist)。
一些团体渴望来自政府的联系和支持,但不一定从中受益(例如Killnet)。
一些团体自称是独立的,但可能是国家行为者的角色或别名(例如“俄罗斯网络军队”、乌克兰BO Team)。
国家行为者也将目标瞄准了太空部门(例如,“沙虫”瞄准了“星链”)。报告中仅列出了国家行为者进行的5次(可能是6次)行动。除非受害者或其政府公开披露,否则他们的活动很难追踪。它解释了数据集中黑客活动团体的普遍存在,因为他们经常进行自我归因攻击。
已确定的国家行为者的活动很可能只是冰山一角。国家行为者在针对太空部门的所有网络行动中所采取的行动可能比报告中所描绘的更大。例如,2024年9月,美国联邦调查局、网络安全和基础设施安全局和国家安全局透露,隶属于俄罗斯总参谋部情报总局(GRU)第161专家培训中心(第29155部队)附属的行为者至少自2020年起负责通过部署WhisperGate恶意软件等方式开展旨在“间谍、破坏和声誉损害”的网络行动。为获取信息以换取赏金,美国国务院公布了第29155部队的5名官员的姓名,他们的目标是美国关键基础设施,特别是航空航天领域。不过,美国国务院没有提供有关其行动的任何细节。这个例子说明:国家行为者对太空领域的兴趣;缺乏公开报道的国家行为者针对太空部门进行的网络行动;对太空领域的攻击数量被低估。
3、没有一个黑客组织专门针对太空系统
作为俄乌战争一部分的针对太空系统的网络攻击表明,威胁行为者不一定专门针对太空系统,而且还没有出现专门针对太空系统的组织。相反,他们中的大多数对于太空领域来说似乎相当陌生。
这在威胁行为者的自我归因声明中得到了说明,这已成为常见做法。例如,“北极星行动”中的OneFist表示,这次攻击是该组织首次尝试侵入卫星网络,这使得“环境对他们来说是独一无二的”。OneFist强调,“卫星非常复杂,要进入它们并不容易。”此外,黑客团体有时声称他们入侵了一个特定系统(例如地面站),但实际上他们的目标是另一个系统(例如用户调制解调器),这表明他们不一定熟悉太空领域。
此外,OpenAI和微软报告称,与GRU特种服务中心第26165部队有联系的俄罗斯黑客组织FancyBear(又被称为Forest Blizzard或APT28)正在使用其大型语言模型来研究“可能与乌克兰常规军事行动有关的各种卫星和雷达技术,以及旨在支持其网络行动的一般研究,[...]表明尝试深入了解卫星能力。”然而,微软确实无法将此类研究与实际攻击联系起来。这进一步证实了报告的调查结果:国家行为者对攻击卫星有兴趣;国家行为者对卫星的攻击很难被发现;威胁行为者缺乏有关太空系统的知识。
这表明地球上和太空中的网络安全可能存在一定的差异。然而,这并不意味着它们的干扰和破坏潜力不大。
一旦威胁行为者更好地了解太空系统,威胁形势可能会发生变化,太空部门可能会变得更容易受到网络行动的影响。
4、黑客行动主义者的声言难以证实
开源信息进行网络威胁情报分析时,存在两个突出的问题:难以评估攻击是否真正发生并产生威胁行为者所描述的后果;难以全面了解每次攻击的步骤。
事实上,威胁行为者可能会声称发动了并未发生的攻击,或者夸大其影响。据曼迪昂特公司称,黑客活动分子针对操作系统的说法往往被夸大或未经证实,很难揭穿。据报道, OneFist和GhostSec等黑客组织被发现在乌克兰战争中撒谎或夸大其词。虽然针对太空系统的攻击并未证明这一点,但也没有证据表明某些针对太空领域的攻击是否确实发生过。任何人都可以截取用户界面的屏幕截图,并声称该截图是恶意进入网络的。同样,威胁行为者可能会使用旧的数据泄露,并将其伪装成新的行动(例如,Gorilla Circuits或Safran的泄露)。然而,这并不特定于太空领域,也适用于一般的网络威胁情报。
人们应该始终牢记自我归因中的虚假信息风险及其可能产生的负面影响。即使没有发生攻击,虚假声明也可能影响航天公司的声誉,破坏人们对卫星服务的信任,或在最终用户和政府中制造恐惧和恐慌,而这可能只是这些威胁行为者的最终目标。
虽然威胁行为者有时会详细描述他们的行动,但通常会在Twitter、Telegram频道或黑客论坛上进行自我归因,使用“模因”、笑话、习语、侮辱、各种语言(通常是英语、乌克兰语和俄语的混合)以及照片蒙太奇、目标截图,这可能会对攻击和事件顺序造成误解。
总体而言,数据集中约20%的已识别行动无法完全验证。它主要涉及最复杂的操作。此外,由于黑客活动的总规模,媒体报道往往有限,信息经常在主要来源、技术媒体和一般媒体间丢失。由于缺乏信息渠道和对太空网络安全的技术知识有限,进一步的调查受到限制。
5、产生影响可能并不那么重要
大多数已识别的行动实际上并没有针对太空系统本身,而只是针对卫星服务、网络或公司的网站(例如Killnet对“星链”的攻击和Phoenix对SES太空和防务公司的攻击)。这些行动不会影响在轨卫星,不会影响用户、行动或目标组织。因此,人们可能想知道这些攻击的目的是什么。
许多问题仍未得到解答:
由于实际的太空系统本身过于复杂,需要特定的知识才能入侵,用户界面对于黑客来说是否是比较容易实现的目标?
由于这些行动并非特定于太空,因此用户界面是否是目标?换句话说,它们只是对计算机的另一种攻击,而且很容易发起。
由于实际的太空系统受到了良好的保护,用户界面是否会成为攻击目标?
DDoS攻击是否能让黑客轻易声言发起攻击并支持某项事业,而不管损害有多大?
事实上,除了与太空相关的目标之外,已识别威胁行为者发起的大多数攻击都是针对网站的DDoS攻击。似乎DDoS攻击足以引起媒体的关注,并表明对特定行为者的敌意和反应。正如曼迪昂特公司所描述的,黑客行动主义利用网络行动来传达政治或社会叙事。威胁行为者每天都会从一个目标转移到另一个目标。很少有人会长时间关注同一个行为者。
另一方面,一些行动的影响可能会在数月或数年后显现。例如,据称,针对俄罗斯目标的几次袭击导致一些组件无法使用(例如, OneFist针对Zagorskaya GAES-2和Satis卫星网络的行动),需要更换。然而,由于这些组件中的许多来自西方公司,制裁可能会阻止俄罗斯修复某些系统。同样,俄罗斯公司Special Technology Center(STC)的数据泄露暴露了该公司及其子公司如何规避制裁来采购其设备的组件,最终导致涉案实体受到制裁。
6、黑客组织行为可能与其支持的政府发生冲突
在社交媒体上,黑客经常对太空公司在冲突方面的言行做出反应。例如,当埃隆·马斯克就冲突发表意见或因乌克兰的无人机袭击而停止“星链”时,亲乌克兰黑客可能会站队并呼吁他们的社区对他(他的公司、他的个人账户等)进行报复性攻击。尽管这些黑客支持乌克兰,但他们的呼吁和行动并不总是与更广泛的政府目标一致,可能会对乌克兰的军事行动造成意外干扰。如果乌克兰团体针对埃隆·马斯克的行为或观点而将“星链”作为目标,乌克兰政府不能承受“星链”被中断的后果,因为它对于军事行动和民事活动至关重要。
在网络冲突中,政府与黑客组织间的协调很少是组织性的、线性的和层级化的。支持冲突同一方的黑客组织经常相互争斗(例如Killnet与Phoenix、Killnet与Raty等)。
此外,政府官员可能认为黑客组织的行动对于实现其目标毫无用处。一些针对太空领域的攻击就说明了这一点。例如,当Killnet针对洛克·希德马丁公司,并最终针对NASA时,俄罗斯政府强调这些行动没有多大用处,黑客应该将注意力集中在寻找前线军事装备的位置上。Killnet回应称,政府本来可以首先要求他们这样做,这凸显了当局和黑客组织间协调混乱。总体而言,国家容忍的攻击非常常见,但国家支持的攻击则较少见。
7、太空是令黑客着迷的对象
亲乌克兰和亲俄罗斯的黑客活动团体经常在 Telegram 频道或Twitter账户上谈论太空。太空似乎是黑客活动团体在集体开展的网络行动外维持与社区在线互动的众多工具之一。
在乌克兰方面,“乌克兰IT军队”有时会在其Telegram频道上分享与太空相关的消息和信息。“乌克兰IT军队”有时会分享有关太空的有趣事实,例如在国际空间站(ISS)上煮第一杯咖啡的日期。他们还定期分享有关冲突中使用太空的文章,或对前线俄罗斯方面缺乏卫星互联网能力发表评论。该频道也经常提到ViaSat黑客事件。
在俄罗斯方面,几个亲俄黑客组织经常谈论太空问题。NoName057 (16)、Killnet和“俄罗斯网络军队”等组织都发布了关于4月12日航天日的帖子,这一天是为了庆祝1961年尤里·加加林首次载人航天飞行。NoName057 (16) 有一个定期的“IT新闻文摘”,其中包括俄罗斯数字领域的新闻。其中定期包含俄罗斯航天领域的新闻。“俄罗斯网络军队”还分享与太空相关的新闻,例如美国在克里米亚上空使用地球观测卫星,或俄罗斯月球着陆器Luna-25的发射。Killnet有时分享与埃隆·马斯克和“星链”相关的新闻和照片蒙太奇,或中国人开发反太空武器的计划,有关俄罗斯国家航天集团公司的笑话。
亲俄罗斯团体有时会开玩笑说黑客入侵卫星的可能性,或争论这是否可行,但不一定采取任何行动(例如AndraxRU)。这进一步凸显了人们对太空的迷恋。黑客活动家将其视为终极挑战。
三、理解太空网络冲突的
政治和战略影响
本章讨论了乌克兰战争中针对太空领域的网络行动的政治和战略利害关系,概述了冲突在威胁形势演变中的作用及其对外太空军事化和武器化的影响。
1、针对太空系统的网络攻击在武装冲突中愈发普遍
据市场情报公司CyberInFlight称,自1970年代以来,公开记录的网络攻击只有337起,其中90起发生在2023年,仅2024年1月就有30起。这可能是一个低估数字,因为大多数攻击都没有公开披露。如果将其作为大致基础,苏黎世联邦理工学院安全研究中心(CSS)确定的与乌克兰战争有关的124起行动将构成有史以来针对太空部门的所有攻击的重要组成部分。
卫星网络攻击过去相当罕见,而武装冲突中的攻击则更少见。它们大多是干扰和欺骗(电子战),而不是入侵、拒绝服务、数据拦截、数据损坏或夺取控制权(网络战)。例如,2009年,伊拉克叛乱分子通过使用商业软件SkyGrabber拦截无人机与电信卫星间的未加密链接,成功获取美国军用无人机的实时视频。2011年,伊朗关闭了一架美国RQ-170军用无人机,方法是覆盖无人机的命令和控制系统并欺骗GPS坐标,使无人机误以为它降落在阿富汗的美国空军基地,而实际上它正在伊朗领空上空飞行
俄乌战争使得战时卫星遭受网络攻击的可能性发生了变化,原因有四:
这场冲突是卫星在武装冲突中发挥的作用的一个被广泛公开记录的案例。威胁行为者,尤其是黑客组织,并不一定知道武装部队使用卫星的程度。因此,它揭示了新的有吸引力的攻击目标。
冲突导致黑客行动主义的激增,同时自我归因的趋势和评价也不断上升。
威胁行为者经常提到太空,这似乎既是一个令人着迷的话题,也是一个新的具有挑战性的高价值目标。
所有这些都是在太空系统数字化程度不断提高以及太空技术和攻击性网络工具泛民化的背景下发生的,从而扩大了卫星的攻击面并降低了威胁行为者的进入门槛。
可以预见,针对卫星网络的网络攻击在未来的冲突中将变得更加普遍,并且黑客组织将继续对太空系统保持兴趣。
这一趋势不仅限于俄乌战争。2023年,以色列/巴勒斯坦冲突也展示了类似的模式,黑客活动分子自我定位、自我归因针对太空系统或太空公司的攻击。例如,GhostSec声称对以色列11个全球导航卫星系统(GNSS)接收器进行了网络攻击,以抗议以色列国防军的行动。同样,“匿名者苏丹”声称在10月7日后袭击了以色列的GNSS系统。
2、外层太空武器化仍是一个新现象
截至撰写本文时,似乎尚未发现任何直接针对太空部分的攻击。从一颗卫星向另一颗卫星发射的轨道网络攻击似乎也没有发生。没有发现任何网络攻击导致轨道上的卫星无法使用或将其变成太空垃圾。绝大多数攻击针对的是用户界面(76%)和用户部分(10%)。这些发现也与对航天行业利益相关者的采访一致,他们报告称,大多数网络攻击针对的是他们公司的IT环境,而不是他们的卫星。
因此,网络冲突扩展到了太空系统,但仍然局限于地球上的系统(例如用户终端、用户界面、地面站),尚未蔓延到轨道环境中的物体。然而,在许多情况下,它足以扰乱太空服务的机密性、完整性或可用性。一些行动,例如“乌克兰IT军队”对俄罗斯互联网服务提供商Astra和Altegrosky的攻击,导致用户数小时无法使用互联网宽带。Killnet对“星链”的攻击导致用户无法连接到互联网。
此次行动仅针对地球上的太空系统,这一事实往往证实,太空武器化(即在外层空间部署武器)仍是一种新兴现象。除俄乌冲突外,太空领域的网络攻击确实存在,但数量远少于其他领域。
如果外层太空武器化尚未实现,那么随着各国稳步发展反太空能力并观察太空中的敌对行为,外层太空武器化正在缓慢但稳步地增加。这些包括反卫星试验、未经宣布的机动和检查任务,试图窃听其他卫星(例如LuchOlymp )、发射发射体(例如Kosmos2523、Kosmos-2543)、开发机械臂(例如SY-7)以及部署高度机动的太空飞机(例如 X37-B)。
3、大多数网络攻击不属于联合行动
2022年2月,对ViaSat的网络攻击是地面入侵的补充,是联合协调行动的一个例子。原因在于,对ViaSat的网络攻击归咎于一个直接或间接为俄罗斯政府工作的国家行为者,从而使太空网络行动和陆地行动间能够进行潜在的协调。然而, ViaSat事件后影响太空系统的大多数网络攻击都是由与政府几乎没有联系的黑客组织进行的。
有些攻击与地面上的小事件或与俄乌战争有关的公告有关,例如武器交付(例如,“俄罗斯网络军队”针对Hensoldt)、向乌克兰提供卫星图像(例如,“俄罗斯网络军队”试图针对 ICEYE)或举办与战争有关的会议(例如,NoName针对瑞典航天局)。然而,这样的例子是有限的,而且似乎没有发现任何与陆地、海上或空中行动相协调的攻击。
然而,一些网络行动独立于陆、海或空行动,但与它们相关。例如,俄罗斯捕获Baba Yaga无人机以识别乌克兰破解“星链”软件的行为,或俄罗斯捕获乌克兰士兵的安卓平板电脑,用恶意软件感染他们以获取有关“星链”的数据,这些都是与战场行动相关但单独进行的网络行动的例子。同样,亲乌克兰组织OneFist针对Zagorskaya GAES-2 的行动(如下所述)是针对俄罗斯对乌克兰能源基础设施的动能攻击而开展的网络行动。
这种缺乏直接协调的情况往往证实了乌克兰和俄罗斯武装部队开展真正联合行动的难度。进入卫星网络并在正确的时间发动攻击需要复杂的网络攻击能力以及与其他武装部队的协调能力。此外,将各种商业系统整合到更广泛的军事网络和陆、海、空武器系统中,对武装部队来说可能是重大挑战。
4、网络行动影响在战场中的太空使用
尽管大多数网络行动独立于陆地行动进行,且后果甚微,但其中一些行动有助于塑造前线(尤其是俄罗斯方面)的太空利用方式。
在整个冲突期间,尽管俄罗斯拥有强大的主权能力,但其卫星通信(SATCOM)的使用率低于预期。战争开始时,SATCOM应该被俄罗斯军队默认使用,但由于故障和缺乏有效的能力,很快就被废弃了。例如,他们使用加密卫星电话,如Era加密电话,这种电话不知何故需要3G/4G才能运行。然而,在某些地区,俄罗斯摧毁了3G/4G塔,导致他们自己的SATCOM能力丧失。因此,俄罗斯军队被迫依赖不安全的设备,如未加密的对讲机和私人手机。数据泄露还显示,士兵们抱怨缺乏SATCOM能力以及乌克兰能够窃听他们的通信。然而,随着冲突的延长,地面系统和网络已逐渐成为默认使用。例如,乌克兰入侵库尔斯克后,针对互联网服务提供商的DDoS攻击迫使俄罗斯武装部队依赖卫星通信,从而限制了他们的通信能力。
5、一些行动针对平民目标
许多行动都是针对纯民用网站。例如NoName057(16)针对瑞典航天局网站实施的DDoS行动,以及Bloodnet针对荷兰太空研究所的行动。有些行动针对民用基础设施或组织。OneFist针对俄罗斯Zagorskaya GAES-2水电站的全球导航卫星系统(GNSS)接收器的行动就是这种情况,如下所述。
一些团体(通常是亲乌克兰的团体)正在解释其目标的军事或双重性质,从而强调他们攻击这些目标的合法性。例如BO Team针对俄罗斯远东空间水文气象科学研究中心“Planet”的攻击就是这种情况。然而,大多数亲俄行动并非如此。
以平民为目标引发了人们对此类行动合法性以及国际人道主义法在太空和网络空间的适用性的质疑。此外,它还引发了人们对各国对在大多数国家本质上属于非法的活动的容忍度以及当达到特定阈值时(例如对卫星空间部分的攻击)它们是否会作出反应的质疑。
到目前为止,还没有发现西方黑客组织针对乌克兰航天部门的先例。目前尚不清楚如果此类组织出现在威胁环境中,当局是否会容忍它。到目前为止,针对俄罗斯航天部门的西方组织是被容忍的(例如V0g3lsec)。同样,众所周知,只要黑客组织不针对俄罗斯实体,俄罗斯政府就会容忍其活动。如果出现针对俄罗斯航天部门的俄罗斯组织,当局很可能会试图将其瓦解。
6、亲俄罗斯和亲巴勒斯坦团体联手
更广泛地说,黑客行动主义团体中出现了一种新趋势。首先,几个亲俄罗斯团体建立了伙伴关系,并开始更定期地合作和协调行动。然后,在2023年10月7日后,几个亲俄黑客组织在以色列巴勒斯坦冲突中站在了亲巴勒斯坦组织一边。他们开始协调一些行动,或转发彼此针对亲以色列或亲乌克兰目标的内容。最终,这些团体决定联合起来,以增强其能力并扩大其行动的影响。例如,2024年4月,亲俄罗斯集群“Matryoshka 424”成立,旨在“团结尽可能多的来自不同活动领域的力量和人员,以保护俄罗斯及其盟友的利益。”它聚集了22名俄罗斯威胁行为者。同样,2024年6月,亲巴勒斯坦组织“10月7日联盟”成立,将36个黑客组织联合起来,以以色列为目标。2024年7月,“Matryoshka 424”和“10月7日联盟”宣布“统一力量”,共同“努力实现共同目标”。同月,“High Society”和“10月7日联盟”这两个组织将70多个黑客组织聚集在一起,宣布“决定合并我们的团队,组建一个新的团队”,称为“神圣联盟”,以北约、欧洲、乌克兰和以色列为目标。
亲俄罗斯和亲巴勒斯坦黑客组织都各自针对太空领域展开攻击,前者专注于西方和乌克兰的太空目标,后者专注于以色列的太空领域。到目前为止,他们还没有针对太空目标进行联合网络行动。亲巴勒斯坦组织是否会参与亲俄罗斯组织针对太空目标的行动还有待观察。只有时间才能告诉我们这些黑客联盟将如何影响针对与俄乌战争有关的太空系统和组织的网络行动。
结论
建议:
太空部门应建立网络缓解措施、最佳实践、与工业和商业行为体的协调机制以及防御和进攻行动的职责。
太空部门应更加关注网络威胁情报(CTI),特别是针对黑客组织,以便更好地了解他们的行为和能力。
如果黑客组织声称没有发生过网络行动,太空部门应该站出来揭穿虚假信息。
公开的信息不足以全面了解威胁形势。应支持太空 信息共享和分析中心的发展,因为它们可以填补这一空白。
这份报告确定了俄乌战争期间针对太空领域的124起网络攻击。报告还确定了一系列不同的威胁行为者,并列出了他们的行为模式和动机。
该报告同样提供了证据,表明尽管发现的行动数量很少,但国家行为者对针对太空基础设施的持续兴趣。国家行为者开展的行动特别难以检测和绘制,因为它们是秘密进行的,很少公开归因。因此,已发现的124项网络行动可能仅占针对太空领域的整体网络活动的一小部分。很可能还有许多其他行动尚未报告和未被发现。公开的信息不足以让太空运营商全面了解威胁形势。因此,应支持诸如太空信息共享和分析中心之类的信息共享举措,这些举措将太空公司和政府机构聚集在一起,因为它们可以填补这一空白。
这对航天领域的影响很大。针对航天领域的网络威胁是前所未有的。在乌克兰战争背景下进行的网络行动数量占了所有针对航天领域的网络攻击的很大一部分。该报告还对情况进行了全面分析,并强调大多数网络攻击远没有针对ViaSat的攻击那么具有破坏性和复杂性。
更广泛地说,该报告探讨了太空如何成为俄乌战争中一些网络威胁行为者(尤其是黑客组织)的迷恋对象和主要目标。这一点很重要,因为它概述了网络威胁形势,而这个领域长期以来一直忽视网络威胁。一般来说,太空网络威胁情报(CTI)很少关注黑客组织。正如报告所示,针对太空领域的黑客组织激增,需要更好地了解这些威胁行为者、他们的动机、能力和行为,以保护太空基础设施。
这些行为者还将新的公共交流形式带入了这个非常隐秘、很少公开承认攻击的领域。报告指出,大多数攻击都是自我归因。然而,许多行动无法通过公开信息进行核实。一些团体可能还夸大了他们的说法,或者公然撒谎。因此,如果黑客组织声称进行的网络行动并未发生,太空部门应该站出来揭穿虚假信息。否则,这些虚假行动可能会引起媒体毫无意义的关注,引起不必要的恐慌,并破坏人们对太空服务的信任。同时,沟通应该保持平衡、冷静、及时和非政治化,以避免升级或吸引更多恶意行为者。对每一次攻击都做出不成比例的反应将适得其反,正如俄罗斯国家航天集团的案例所表明的那样。
此外,本报告发现的入侵太空系统事件表明,许多组织和系统没有得到很好的保护,因此很容易被不成熟的操作所渗透。这凸显了太空公司需要意识到自己在战争时期的重要性,并认真对待其网络安全态势。一次针对卫星网络的成功行动可能会迅速导致跨部门和跨用户的连锁反应。更广泛地说,该报告表明太空尚未通过网络手段武器化。大多数针对太空部门的网络攻击都针对太空组织的IT环境以及太空系统的用户或地面部分。轨道上的航天器并不是网络攻击的直接目标。针对地球上的太空系统足以阻止最终用户多次使用太空能力。因此,网络冲突扩展到太空系统,但仍然局限于地球上的系统。
这表明外层太空武器化仍是一种新兴现象。然而,各国对此越来越感到担忧,它们观察到敌对行动、窃听企图、反太空能力发展以及进攻性太空和网络能力的增加。网络攻击工具是有吸引力的反太空武器,因为它们提供了合理的可推诿性、环境独立性和威胁行为者的低进入门槛。因此,各国应通过建立网络缓解措施、最佳实践、与工业和商业行为者的协调机制以及防御和进攻行动的责任来为这种可能性做好准备。
苏黎世联邦理工学院安全研究中心(CSS)未来在该领域的研究将通过考察以色列-巴勒斯坦冲突等其他冲突来探索俄乌战争如何成为太空网络威胁形势的代表性案例,这些冲突似乎具有针对太空领域的黑客活动模式。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
