HackerNews 编译,转载请注明出处:
随着近期以色列与伊朗冲突升级,支持巴勒斯坦的黑客行动主义团体 GhostSec 据称已将其攻击焦点转向天基资产,尤其针对以色列卫星。这是他们表达抗议的方式。
GhostSec 长期以来通过实施远比同行更复杂的战术和有针对性行动,在黑客行动主义领域中独树一帜。目前,该组织正专注于攻击 VSAT(甚小孔径终端)系统——一种用于卫星通信的地面终端设备。
这类终端通常关联远程军事、政府及其他关键工业控制设施。尽管该组织常宣称这些行动是对实际在轨“卫星”的攻击,但其真实目标是地面与在轨卫星通信的卫星终端及暴露的网络基础设施。
这是一种操纵天基基础设施的手段。
与想象不同,黑客行动主义者并非使用 RTL-SDR、卫星天线等专门的射频设备来定位、瞄准或入侵卫星基础设施。这是因为 VSAT 终端拥有公共 IP 地址,这意味着它们很容易通过 IP 范围扫描和 Shodan 等工具被发现。
虽然 Shodan 仍是各类黑客的首选资源,但 VSAT 端点也可通过 OSINT(开源情报)方法(如关联卫星 ISP 的 ASN/IP 所有权)暴露出来。此外,还能利用各种 SNMP 枚举技术进行发现,例如以下 Metasploit 模块:auxiliary/scanner/snmp/snmp_enum。
VSAT、SNMP、Shodan 与黑客行动主义
SNMP 指简单网络管理协议(Simple Network Management Protocol),运行于端口 161。大量 VSAT 终端在互联网上暴露了 SNMP 接口。由于使用 Shodan 搜索设备相当简单,用户可以观察到 SNMP 实际上是电信、应急通信和偏远外交前哨广泛使用的协议。
试想一下:一条改变卫星调制解调器设置的 SNMP 写入命令,就可能导致整个区域断网,在战区尤其如此。
暴露 SNMP 接口的 VSAT 终端通常会泄露卫星的识别信息:
- 设备类型供应商/制造商(如 Gilat、iDirect、HughesNet 等)接口名称(如 satEnd0、satUplink、rf0ut 等)网络拓扑,包括卫星链路、调制解调器、路由行为等物理位置上行/下行链路统计数据GPS 坐标(如已设置)
GhostSec 电报频道言论
GhostSec 领袖 Sebastian Dante Alexander 就该组织近期目标表示:
“这次针对卫星的最新攻击不同于我们之前入侵这些卫星 GNSS 接收器的行动。我们此次攻击的 VSAT 终端已确认被军方使用。攻击截图显示了攻击步骤。我们成功使攻击的两个 VSAT 终端瘫痪,直到问题解决为止——显然这花了他们超过 24 小时。”
他解释称,该组织使卫星失效,因此以色列军方在停机期间无法获取该卫星的任何信息或继续使用。
在远程部署中,VSAT 终端通常依赖 SNMP 进行日常监控和设备管理。这种轻量级协议使服务提供商能够跟踪关键指标,如运行时间、带宽使用情况和卫星链路性能。它还使操作员能够远程重启设备或调整配置——这在物理访问不切实际的情况下是必要的。
此外,许多 VSAT 出厂时带有默认的 SNMP 团体字符串(community strings),如 public(读权限)和 private(写权限),并且极少被更改。在 VSAT 终端上保留默认 SNMP 团体字符串会构成潜在威胁:拥有 public(读权限)的任何人都可从中提取信息(包括流量日志)。
若保留未更改的 private(写权限)团体字符串,攻击者就能向 VSAT 终端写入数据,这才是真正灾难的开始。拥有 private 字符串的访问权限,攻击者可以重启调制解调器、更改路由表、重新配置上行链路参数,甚至彻底瘫痪或完全禁用 VSAT 终端。
这正是在俄乌战争初期得到证实的网络攻击中发生的情况:2022 年 2 月 24 日(即俄罗斯入侵乌克兰当天),乌克兰的 Viasat KA-SAT 卫星网络遭入侵。该攻击导致数万个地面终端瘫痪,中断了乌克兰军事通信,并造成附带影响——波及德国风力发电场和中欧的民用互联网服务提供商。
GhostSec 的目标
该组织的身份本质上与瞄准高价值网络基础设施相关联。其异常复杂的攻击手段使其区别于大多数黑客行动主义团体——后者通常使用现成工具攻击易得目标,并制造乏味的结果。
2023 年春季,GhostSec 在破坏 11 台全球导航卫星系统(GNSS)接收器后成为头条新闻,这使他们能够清除每台设备的数据,并阻止卫星未来获取任何数据。
然而,GhostSec 当前的攻击虽然与之前类似,但略有不同。
“之前的 GNSS 接收器大多用于图像采集或一般用途。这次,我们瞄准了八颗特定卫星,并成功攻击了其中两颗,在此场景下产生了更大的影响。”
GhostSec 的 Telegram 频道揭示了其重燃卫星入侵兴趣背后的意识形态驱动叙事。6 月 13 日,GhostSec 提及巴勒斯坦的压迫和以色列持续升级的错误行为。
“除了关闭 500 多个网站(数量仍在增加)之外,我们还将展示更多攻击成果。我们攻击了以色列境内超过 100 台 Modbus PLC 设备,影响了他们的工业系统和 OT 系统。我们入侵了超过 40 台 Aegis 2 水处理设备,篡改了部分设备界面,并彻底扰乱了其余设备的设置,最终将其全部关闭。”
“我们入侵了八台 Unitronics 设备,在对系统进行彻底破坏后,也将其关闭。我们总共入侵了 10 台属于以色列的 VSAT 设备,特别是我们之前帖子中简要提及的卫星,影响了以色列直接拥有和军方控制的卫星。”
“我们有着攻击以色列的历史记录,包括所有以往的入侵、数据泄露等等。仅过去一年我们就总计入侵了 700 多台设备,这足以说明问题,但今天我们发起大规模攻击,以继续向他们施压。”
该帖以声援巴勒斯坦的声明结尾。
6 月 11 日的更早帖子展示了该组织的 OSINT(开源情报)技能,他们发布了一份以色列卫星系统及其战略价值的清单。例如,由 Gilat Satellite Networks 开发的 SatTrooper-1000 卫星系统,被用于单兵背负式终端,供地面部队通信使用。
尽管这是公开信息,但 GhostSec 显然正在编制一份类似数字“愿望清单”的军事卫星通信(SATCOM)目标档案。
心理框架效应
此外,该组织利用宣传作为心理放大器的手法,带有心理震慑的成分。与我个人观察到的其他团体不同,GhostSec 向其 3607 名 Telegram 订阅者传递消息的方式可谓独特。
多数团体倾向于复制粘贴我称之为“新闻呕吐物”的内容——作为一种情绪放大器,充斥着半真半假、未经证实的说法和糟糕的新闻报道。因此,成员们对此情绪化回应,而非战术性回应。他们助长了绝望感,这就是为什么如此多的黑客行动主义团体未能取得任何引人注目甚至具有新闻价值的成果。
GhostSec 自信、直接的语气,结合其精准度和掌控力,营造出完全不同的效果——通常被称为通过权威框架实现的“信息主导”。他们可能并未完全意识到这一点,但他们的自信本身就是一种功勋章。
GhostSec 阐述其理念和目标的方式具有强大的心理影响力。对于以色列而言,这可能造成一种印象:其安全、加密的系统正在被分析并准备遭受攻击。
对于 GhostSec 的众多支持者,该组织展现了专业素养和研究能力,强化了其合法性。他们实现这一点的方式不是通过提问或猜测,而是通过以掌控者的姿态呈现机密级别的信息,将整个局势描述为既成事实。
消息来源: cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
