首頁 > 安全研究 > 研究報告 > 攻擊與威脅分析

烏克蘭衛星電視系統攻擊事件安全分析

發布時間 2024-05-21

一、概述


據外媒報道,2024年5月9日,黑客對烏克蘭的電視頻道進行了入侵,使得部分烏克蘭居民意外觀看到了莫斯科紅場的勝利日閱兵直播。這次攻擊影響了StarLightMedia和Inter兩家電視臺的衛星廣播,攻擊分別在當日上午10點至10點18分、11點27分至11點29分以及中午12點51分至12點55分三個時間段內發生。為了應對這一情況,相關頻道不得不暫時切斷衛星信號。


黑客通過播放莫斯科的勝利日閱兵直播,意在傳播特定的政治信息和宣傳,這種信息戰的戰術旨在塑造或扭曲烏克蘭民眾對俄烏沖突的認知。這種策略可能對烏克蘭內部的政治穩定和民意造成影響,增加社會分裂。


近年來網絡空間地緣政治化的趨勢日益顯著,針對衛星或電視系統的關鍵基礎設施的安全事件越來越多:


? 2022年2月24日俄烏沖突爆發時,覆蓋烏克蘭地區的美國衛星運營商Viasat遭遇網絡攻擊,導致數千烏克蘭用戶、數萬名歐洲其他地區用戶斷網。


2023年,以色列13頻道電視臺遭到黑客網絡攻擊,畫面被插播巴勒斯坦國旗。



2023年,莫斯科國家廣播電臺和電視頻道服務器在遭到黑客入侵后,發出了虛假的空襲警報。


為此,啟明星辰ADLab針對這次數字衛星電視系統的攻擊事件進行了技術性分析。


二、衛星電視系統架構


圖片1.png

圖1 衛星電視系統示意


衛星電視系統通信過程,涉及內容的編碼、傳輸和接收。這個過程主要可以分為以下幾個步驟:


(1)內容編輯與編碼:拍攝后的原始視頻和音頻內容需要通過編輯整理成最終的播出格式。之后,這些內容會被轉換(編碼)成適合于衛星傳輸的格式。這一步通常包括壓縮和編碼,這樣能夠減少數據的大小,確保它可以有效地通過衛星鏈路傳輸。


(2)上行信號傳輸:編碼后的信號被傳輸到上行地面站。這里,信號會被進一步處理,并轉換為微波信號,然后通過強大的發射天線發射到空中的衛星。


(3)衛星中繼:微波信號到達地球同步軌道上的衛星后,衛星會接收這些信號,并對其進行再放大和處理。然后,衛星會使用不同的頻率(下行信號通常使用與上行不同的頻率,以防止信號干擾)將信號重新發送回地球。


(4)下行信號接收:地球上的各種接收站(如有線電視網絡的地面接收站或個人的衛星接收盤)捕捉來自衛星的信號。這些信號經過低噪聲放大器(LNA)放大后,被轉換為電視機或其他設備可以識別和處理的格式。


(5)內容分發與播出:接收到的信號被送往電視網絡或直接傳送到用戶的電視接收器。在電視網絡中,信號可能會經過進一步的處理和分發,以適應不同地區或用戶群的需求。


(6)電視接收:最終,觀眾通過他們的電視或接收設備觀看這些節目。這些設備將衛星信號解碼,轉換成音頻和視頻輸出,供用戶觀看和聽取。


三、數字電視衛星的安全攻擊面


衛星電視系統包括地面發射控制系統、星載轉發系統和地面接收系統三大部分。與衛星相關的攻擊面主要包括以下四部分。


3.1 衛星信號干擾


信號干擾是常用的衛星攻擊技術。攻擊者淹沒或壓制信號、發射機或接收機,干擾合法傳輸。

干擾已成為衛星服務受損或拒絕服務的主要原因。黑客使用定向天線,輸出專門的干擾信號,其功率足以覆蓋原始傳輸的信號。衛星信號干擾的兩種形式主要是軌道干擾和地面干擾。


3.1.1 軌道干擾


在軌道干擾中,攻擊者通過惡意上行鏈路站直接向衛星發送覆蓋頻率波段的信號。這樣衛星會收到混合的干擾信號與合法信號,因而無法正常工作。干擾信號能夠覆蓋合法傳輸并阻斷其向接收方的傳輸。

針對上行鏈路的洪泛攻擊被認為是最具破壞性的攻擊,因為它能夠大面積地影響所有可能的接收方的通信。


上行鏈路干擾對衛星的物理影響相對較小,因為它可以干擾衛星在大范圍內的傳輸,但只是暫時的,并且不會永久損害目標系統。


針對控制命令的上行鏈路干擾可以阻止衛星接收來自地面的命令。它還可以針對用戶傳輸的數據,從而干擾接收方的正常數據的接收。


3.1.2 地面干擾


地面干擾不是像軌道干擾那樣以衛星本身為目標,而是向當地消費者級衛星天線的方向發射惡意的衛星信號。干擾頻率限于特定區域,并且僅能夠干擾特定位置的衛星發出的頻率。小型便攜式地面干擾機易于購買和使用;它們在城市地區的射程通常為3-5公里,而在農村地區,它們的射程可以增加到20公里。


下行鏈路干擾是一種可逆攻擊,它只影響干擾機視線范圍內的用戶。針對對地面設備的干擾攻擊可能會影響衛星架構的有限部分,從而造成輕微損害。


干擾攻擊的一個顯著特點是它們可以使用現成的技術進行,并且很難檢測到攻擊方,特別是間歇性干擾。

2006年,Robert Kehler中將在美國眾議院軍事委員會戰略部隊小組委員會作證時強調,美國軍方租賃的商業系統已經受到干擾。在“伊拉克自由行動”期間,對16個月期間商業衛星通信鏈路的分析發現,有50起記錄在案的商業衛星通信干擾軍事通信的事件;其中五次攻擊肯定是由敵對干擾源實施的。


3.2 衛星流量竊聽


與干擾不同,竊聽傳輸允許攻擊者訪問傳輸的數據。盡管幾乎每一個衛星通信都是加密的,但是我們可以從很多公開的信息渠道獲得如何使用現成的產品來攔截衛星傳輸,無論這些傳輸是攜帶衛星廣播媒體、衛星電話對話還是互聯網流量。


2012年初,德國安全研究人員證明,使用市場上現成的設備,只要一臺個人電腦和一根天線,就可以很容易地攔截和破譯衛星電話。衛星電話運營商采用了兩種加密標準算法 GMR-1和GMR-2來保護運營商的衛星電話信號的安全。在非洲、中東和北亞的Thuraya衛星電話都采用了這兩種加密算法。


GMR-1是由GSM標準實現的A5/2算法的變體。它很容易受到純密文攻擊。GMR-2標準引入了一種新的加密算法,但是它的加密強度不夠,只有64bits。2017年,兩名中國安全研究專家發現GMR-2算法存在嚴重缺陷,采用新型實時反轉攻擊方法,幾乎可以實時破解GMR-2的加密密鑰。研究人員稱:“在一個3.3GHzCPU的計算機平臺上,我們可以在0.02秒內破解出GMR-2密碼。我們的研究成果再次證明,在GMR-2密碼標準中存在嚴重的安全缺陷,因此衛星通訊服務提供商應該盡快升級各自所采用的加密系統,以提升通訊的保密性?!?/p>


增強衛星傳輸數據的加密會帶來一系列的問題。首先是運營成本的增加;另一個需要考慮的因素是對整體性能的影響。安全專家稱加密衛星信號會導致性能下降80%。


3.3 衛星信號重放攻擊


衛星信號重放攻擊主要是針對地面站的上行鏈路信號重放,地面發射站的上行鏈路信號包括衛星控制命令及用戶傳輸數據。衛星的控制命令是衛星控制指針對衛星的控制技術,包括衛星姿態控制、溫度控制、動力控制等。攻擊者提前錄制并重放衛星遙控命令可以偽造合法用戶控制衛星,嚴重的可以調整衛星的空中姿態,注入惡意代碼等。


3.4 高能脈沖攻擊


反衛星激光武器可以通過地基或天基向目標衛星發射高功率脈沖,高脈沖能量通過衛星接收天線對衛星內部電子器件造成不可逆的傷害,可能導致整個衛星測控模塊完全失效,造成衛星的拒絕服務。


四、事件分析


4.1 衛星介紹


烏克蘭電視頻道StarLightMedia和Inter TV是烏克蘭的兩大電視臺,其中StarLightMedia采用了以色列Spacecom公司的Amos-3及Amos-7衛星進行數字電視衛星廣播。Inter TV采用了以色列Spacecom公司的Amos-3衛星進行數字電視衛星廣播。


表1 Amos-3衛星基本參數表

表1.png


圖片2.png

圖2 Amos-3衛星Ku波段垂直方向在歐洲覆蓋情況


表2 Amos-7衛星基本參數表

表2.png


圖片3.png

圖3 Amos-7衛星Ku波段垂直方向在歐洲覆蓋情況


Inter TV共有兩個頻道分別是Inter頻道及Inter+頻道,StarLightMedia旗下共有STB、Novy Channel、ICTV、M1、M2、QTV五個電視頻道,這五個電視頻道都采用了Amos3衛星提供數字電視轉播服務, 其中高清頻道采用Amos7衛星提供數字電視轉播服務。


表3 被攻擊的衛星電視頻道基本參數表

表3.png


4.2 攻擊方式分析


烏克蘭電視頻道StarLightMedia和Inter的衛星廣播發生了3次干擾——分別是10:00至10:18、11:27至11:29和12:51至12:55。本次攻擊事件中實現了衛星電視節目的惡意插播,除了衛星電視節目外,這些電視臺的OTT、IPTV等信道的節目是可以正常接收的。


圖片4.png

圖4 衛星電視攻擊事件現場效果


從衛星電視插播的攻擊效果來看,攻擊者可能采用的攻擊方式有軌道干擾,地面干擾及網絡滲透攻擊三種方式。

表4 被攻擊的衛星電視頻道基本參數表

表4.png


如果是采用地面干擾,影響的范圍有限,只能覆蓋有限的烏克蘭地區。另外容易暴露攻擊者位置。


如果是網絡滲透攻擊的方式,這意味著需要攻擊者滲透到兩個電視臺的電視播控系統或傳輸網絡,因為這些電視臺的OTT,IPTV等信道的節目是可以正常接收的。當然攻擊者也有可能滲透了同時兩個電視臺的衛星電視信號發射系統,但這樣的攻擊難度較大,而且從現場電視圖像質量來看,成像質量一般,也不符合網絡攻擊的特點。


因為這種攻擊手法采用攻擊時間較短,但覆蓋面及影響面比較大,可以影響到烏克蘭大面積的國土面積。采用衛星信號干擾攻擊的方式,由于攻擊源頭由攻擊者控制,車載的攻擊源可以移動,攻擊可以在境外不同位置完成,很難從源頭定位并切斷攻擊來源。


從攻擊的情況來看,考慮到兩個電視臺都用到了Amos3衛星, 而且頻率范圍接近,本次攻擊發生針對Amos3衛星的可能性比較大。


據報道,2024年4月17日烏克蘭1+1 Media旗下的衛星電視頻道也遭受了嚴重的攻擊,攻擊者干擾 Astra 4A和Hotbird 13E 星上屬于烏克蘭電視頻道的衛星信號。這家媒體巨頭透露,包括其該媒體旗下的39個頻道無法訪問,這對該國媒體基礎設施造成了重大打擊。官方建議采用其他方式獲取電視信號,包括 T2、有線、OTT 和基于互聯網的平臺,以減輕未來攻擊對衛星廣播的影響。


綜合上述分析,我們認為攻擊者采用軌道干擾的攻擊方法進行插播的可能性最大。



圖片5.png

圖5 衛星電視信號發射系統插播示意


下面我們來分析一下數字衛星電視插播的原理。


4.2.1 衛星電視插播的技術原理


衛星轉發器的主要部件是大功率放大器。Ku波段的功率輸出轉發器通常采用行波管放大器或固定功放,當輸入功率小于飽和點時,放大器工作在線性區。


如果輸入功率超過額定值時,功率放大器就進入飽和區或過飽和區。大功率放大器會出現非線性效應。當功率放大器工作在過飽和區,其輸出功率大大降低,而且會出現功率大的信號擠壓功率小的信號的情況,并伴隨出現大量噪聲和誤碼率。


黑客通過采用與地面站發射站相同上行頻率,極化參數等偽造合法地面發射臺接入衛星網絡,并加大功率壓制合法信號,使得衛星的轉發器工作在非線性區,出現功率掠奪現象,導致廣播電視信號失真,電視出現馬賽克黑屏,嚴重時將播出非法信號。


4.3 衛星干擾攻擊溯源技術


針對上行信號的干擾攻擊,可以通過“雙星定位”技術等技術來追溯攻擊者的方位?!半p星定位”的原理就是利用兩顆運行在地球同步軌道的衛星和用戶之間的三角關系,來確定用戶在地球表面的位置。雙星定位系統可以實現對一個有限區域內的導航定位。雙星定位主要涉及到地面接收站及兩顆在軌衛星及衛星信號攻擊者。在攻擊者發送干擾信號的時候,衛星地面接收站根據兩顆在軌衛星的位置及兩顆衛星接收到攻擊者發送的同一信號的時間差,可以計算出攻擊者到兩顆衛星的距離(星戶距)。根據衛星地面接收站的地心坐標,推算出攻擊者到地心的距離。根據同步軌道衛星1,衛星2,地面接收站的地心坐標,就可以計算出攻擊者的當時的三維位置。


圖片6.png

圖6 雙星定位溯源示意


五、安全防范建議


近年來,我國電視廣播建設取得了較大的發展。建成了中央和地方二級IPTV播控平臺,實現了節目安全、可靠播出的目標。


網絡空間是地緣政治的映射。隨著國際形勢的變化,衛星或電視系統的關鍵基礎設施面臨嚴重的安全挑戰。我們仍需要在以下方面加強工作:


(1)加強衛星通信的抗干擾能力


通信抗干擾技術比較有效的方法是采用擴頻通信。根據擴頻的方式不同,主要分為直接序列擴頻(DS)、跳頻(FH)和跳擴結合等方式。


法國商業衛星機隊運營商歐洲通信衛星組織在其推出的Eutelsat8 West B衛星上部署了實驗性尖端電視頻道干擾緩解功能。歐洲通信衛星組織在衛星接收天線后面安裝新一代變頻器能夠在不影響用戶終端接收的下行鏈路頻率的情況下更改上行鏈路信號的頻率,這意味著衛星可以在被惡意上行鏈路信號干擾時,地面發射臺和衛星接收機可以進行同步變頻,保證了服務的穩定性。


此外,在地面衛星信號上行站也可采用功率較大的發射機和高增益發射天線來增加廣播電視節目的上行功率,使干擾小于正常信號,進而達到強功率壓制效果。


2023年底, 我國發射的中星6E衛星在自主可控的基礎上,采用多種措施提升衛星抗干擾能力,并優化轉移軌道程序控制方案,確保衛星安全,保障廣播電視節目安全傳輸。


(2)加強衛星信號傳輸鏈路、地面傳輸鏈路的安全監測。


當非法電視信號插播時,由于TS傳輸信號的編碼結構,復用結構等參數都會發生突變,在輸出側解碼時會出現短時間的馬賽克及黑屏現象。地面接收站通過對碼流或音視頻質量的實時監控可以發現異常并報警。


(3)運用衛星通信加密技術,保障播出內容安全。


通過對衛星電視的上行數據及控制信號的加密,可以有效防止插播攻擊及敏感信息泄露。由于上行數據是加密的,接收端收到加擾視頻數據后需要解擾解碼后才能正確顯示。如果解密不成功則會拒絕顯示電視視頻內容。


在這種情況下,攻擊者需要獲得密鑰才能發起插播攻擊,否則只能造成黑屏的攻擊效果。根據衛星電視單點發射多點接收的特點,合理地運用公鑰體系技術可以很好地保障了內容的安全。


(4)加強素材來源、EPG、第三方CP、OTT直播的管控,從輸入側減低風險隱患。


對于節目制作的素材,我們要做到素材來源都要先進行安全殺毒檢測,對于來歷不明的素材堅決不使用。

由于OTT傳輸由于采用互聯網傳輸,容易受到網絡攻擊。關閉OTT直播通道,關閉不安全的內容入口,保障電視傳播的安全。


EPG(電子節目指南系統)、CP(第三方內容提供商)這些影響到安全播出的第三方系統往往是我們防御的薄弱環節,容易成為攻擊者的目標。


(5)強化網絡邊界防護,在網絡關鍵節點部署上網行為管理、入侵防御檢測、邊界防火墻等安全設備,有效拒絕非授權訪問,主動防御阻斷外部攻擊。


2015年4月8日晚間,法國電視5臺(TV5 Monde)法語頻道受到黑客攻擊。


法國電視5臺向媒體介紹說,8日晚10時左右,襲擊從電視臺的社交網絡開始,緊接著,電視臺內部信息系統以及全球范圍內的發射臺同時陷入癱瘓。工作人員在兩小時后恢復了對社交網絡的控制,但直到9日早上,電視臺網站仍無法使用,電視節目也只能在部分地區播放。


近年來針對電視廣播系統的攻擊大部分都是通過網絡攻擊滲透完成的。為規避風險,需要我們整體規劃電視廣播系統的安全建設,從根源上增強網絡健壯性和抗風險能力。推進安全防護系統建設,提升網絡安全主動防御能力。

參考鏈接:

[1]https://news.china.com/socialgd/10000169/20240510/46499879.html

[2]https://www.infosecinstitute.com/resources/scada-ics-security/hacking-satellite-look-up-to-the-sky/

[3]http://www.xinhuanet.com/science/2022-08/19/c_1310654162.htm

[4]https://m.spacechina.com/n2014789/n2014809/c3972913/content.html

上一篇 下一篇