Конференция по кибербезопасности Black Hat 2020, проходившая с 1 по 6 августа, принесла достаточно интересные, но настораживающие данные от экспертов и профессионалов по спутниковой связи. В опубликованном отчёте рассказывается, каким образом хакеры могут перехватывать интернет-трафик, даже находясь на другом континенте.
Джеймс Павур, исследователь и кандидат наук из Оксфордского университета в своём выступлении на виртуальной конференции рассказал об уязвимости в системе глобальной спутниковой интернет-связи.
Обычно провайдеры спутникового интернета могут предоставлять доступ в интернет в отдалённых районах, где возможности для подключения сильно ограничены. Это могут быть корабли, плывущие в водах Атлантического океана, самолёты, летящие в небе, туристы, вставшие лагерем посреди дикой природы, и даже научные обсерватории, расположенные в Арктике.
В своём исследовании Павур указал на критический момент, который делает спутниковую связь уязвимой перед кибератаками. Когда провайдер услуг доступа к спутниковому интернету открывает подключение для пользователя, он передаёт сигнал на спутник, расположенный на «геостационарной орбите», через канал связи.
Затем сигналы отправляются на Землю по тому же каналу – на теллурический (наземный) маршрутизатор. В этой цепочке ответные сигналы, которые отправляются обратно, обеспечивают канал передачи между спутником и пользователем, который содержит трафик клиентов.
В своей основе нисходящие сигналы отправляются в виде широкого луча, который обеспечивает максимальный охват клиентов. Таким образом, обычный радиосигнал, содержащий ответ на запрос для поисковика Google, поступает на приёмную антенну пользователя, находящегося в сердце акватории океана, однако параллельно он попадает и на антенну злоумышленника, находящегося на другом конце света.
В случае успешного перехвата хакеры могут заполучить таким образом критически важную информацию.
Более того злоумышленник может установить станцию стоимостью всего в 300 долларов. Всё, что для этого требуется, это плоская спутниковая панельная антенна (подойдёт и стандартная тарелка), а также спутниковый PCIe-тюнер стоимостью от 200 до 300 долларов.
Имея на руках такой комплект, хакеру остаётся лишь решить, куда направить спутниковую тарелку. Впрочем, эти «адреса» можно найти в публичном доступе. Павур и группа исследователей, работавшая с ним, в процессе проведения своих экспериментов без проблем нашли подключенный спутник:
«Мы собираемся направить нашу спутниковую тарелку на точку в небе, в которой, как мы знаем, расположен спутник, и мы собираемся сканировать Ku-диапазон, чтобы найти сигналы среди фонового шума. Мы выявляем каналы путём поиска чётких выступов в радиочастотном спектре; они выделяются среди фонового шума, и поэтому мы можем догадаться, что там что-то происходит. Мы настраиваем нашу компьютерную карту на эти сигналы и работаем с ними как с фидами цифрового спутникового телевидения. Через несколько секунд мы чётко подключаемся к данному фиду – и это говорит о том, что мы нашли подключенный спутник», – заявил Павур.
Затем команда исследователей под руководством Павура настроила своё оборудование для формирования реального спутникового интернет-подключения и обнаружила, что провайдеры услуг спутникового интернета по умолчанию обычно не шифруют трафик. Соответственно, они смогли без проблем «прослушивать» фиды потенциальных жертв атаки.
«Это означает, что злоумышленник, который прослушивает ваш спутниковый сигнал, может увидеть то, что ожидает увидеть ваш интернет-провайдер: каждый пакет, приходящий на ваш модем, каждый BitTorrent, который вы загружаете, каждый web-сайт, который вы посещаете».
Однако, даже из зашифрованного трафика можно многое выудить:
«Наша точка подключения даёт нам уникальные возможности для наблюдения за тем, что вы делаете – к примеру, ваши DNS-запросы, по всей видимости, всё ещё отправляются в незашифрованном виде, поэтому мы можем склеить из кусочков историю вашей активности в Интернете, узнать список сайтов, которые вы посещали, и даже те TLS сертификаты, которые защищают контент вашего трафика, также снимают «отпечатки пальцев» серверов, к которым вы обращаетесь, и служб, к которым вы подключаетесь».
Павуру и членам его команды удалось перехватить переписку по электронной почте между адвокатом и его клиентом, в которой шла речь о продолжающемся процессе. Однако, всё это лишь вершина айсберга. Используя данный метод, злоумышленники могут без проблем получать доступ к содержимому электронной почты, а затем с лёгкостью расшифровывать конфиденциальную информацию – в частности, учётные данные PayPal.
Однако, и это ещё не всё. К примеру, турбины ветряных электростанций также управляются через спутниковые каналы – а это значит, что злоумышленники могут получить доступ к их настройкам, и изменить их, что, в свою очередь, может вызвать катастрофу в сфере энергетики.
«Учётные записи таких объектов часто пересылаются открытым текстом через спутниковые каналы, а это означает, что каждый человек, имеющий доступ к интернету, теоретически может получить к ним доступ и начать хулиганить в инфраструктуре энергетики. Разумеется, на таких объектах может быть и дополнительный уровень защиты, мы не копали так глубоко, однако, уже сам факт передачи учётных записей в открытом виде вызывает опасения».
Подводя итоги, учёный отметил, что интернет – это сеть взаимосвязанных устройств и систем, которые уязвимы для атак, осуществляемых такими способами, которые вы даже не можете себе представить. Павур предупреждает:
«Наличие прав, возможностей и навыков для шифрования своих данных, а также выбор в пользу именно такого поведения являются критически важными методами борьбы с атаками подобного рода, независимо от того, в какой сфере вы работаете».
