Раскрыт способ кибератаки на космические корабли

Ученые из Мичиганского университета, Университета Пенсильвании и Космического центра NASA имени Джонсона описали новый метод атаки на технологию «Time-Triggered Ethernet» которая может привести к отказу систем навигаций космических кораблей.

Специалисты назвали этот метод атаки как «PCspooF». Он приводит к тому, что TTE-устройства на секунду теряют синхронизацию, что может привести к неконтролируемым маневрам во время полета космического аппарата в космосе и угрозе жизни экипажа. Наглядная демонстрация атаки показана на видео .

Time-Triggered Ethernet (TTEthernet, TTE) — Ethernet с синхронизацией по времени — это часть сети со смешанной степенью критичности, в которой в одной и той же физической сети сосуществует трафик с разными требованиями к синхронизации и отказоустойчивости. Это означает, что как критические устройства, которые позволяют управлять транспортным средством, так и некритические устройства, которые используются для мониторинга и сбора данных, используют одну и ту же сеть и набор оборудования.

Схема PCspooF-атаки

PCspooF-атака использует уязвимость в протоколе TTE и нарушает гарантию безопасности TTE-сети. Атака представляет собой использование вредоносного устройства для ввода электромагнитных помех в TTE-коммутатор по кабелю Ethernet, что заставляет коммутатор отправлять другим TTE-устройствам выглядящие подлинными сообщения синхронизации (кадры управления протоколом PCF).

Такая схема генерации «электрического шума» может занимать всего 2,5 см × 2,5 см на однослойной печатной плате и требует минимальной мощности, а также она может быть скрыта в устройстве и незаметно интегрирована в TTE-систему.

Моделирование полета аппарата без влияния PCspooF (слева) и под воздействием PCspooF. Атака вызывает значительные отклонения в траектории полета аппарата, что помешало стыковке.

Для смягчения последствий эксперты рекомендуют:

• использовать оптопары или устройства защиты от перенапряжений для блокировки электромагнитных помех;
• проверять исходные MAC-адреса, чтобы убедиться в их подлинности;
• скрывать ключевые PCF-поля;
• использовать протокол аутентификации канального уровня IEEE 802.1AE;
• увеличить количество мастеров синхронизации;
• отключать опасные переходы состояний.

Результаты показывают, что использование обычного оборудования в системе, разработанной для обеспечения строгих гарантий изоляции, иногда может обойти эту защиту. Исследователи также добавили, что программные системы со смешанной критичностью должны быть тщательно проверены аналогичным образом, чтобы гарантировать надежную изоляцию оборудования.