Спуфинг используется чтобы замести следы о поставках санкционной иранской нефти.

Спутниковые системы навигации (ГНСС) предоставляют пространственные координаты и точное время. Подделку координат довольно просто увидеть глазами, а вот подделку временного сигнала обнаружить непросто, если у вас нет припасенных атомных часов.

Форумные теоретики ванговали про атаки на спутниковые системы навигации уже давно, а в реальности все начиналось в 2011-2013, как забавы студентов. Ну угнали яхту, ну выступили на TED, ну увёл китайский летчик Лиси Цын персидский хакер американский беспилотник. Энтузиасты наигрались в Pokemon Go сидя дома. Мирные жители засыпают, просыпается мафия.

2013. Шалости студентов (и их научных руководителей)

Курсовая работа — угнать яхту.

В студенческий спуфере был имитатор сигналов GPS. Тогда имитаторы выпускались серийно и при помощи них проверяли надежность систем для навигации. В 2013 году стоимость этих устройств была более нескольких тысяч долларов.

Assessing the Spoofing Threat: Development of a Portable GPS Civilian Spoofer

Базовый имитатор имел малую мощность и дальность около 10 метров, поэтому студенты использовали усилитель.

Когда проходил эксперимент, то всё «атакующее железо» располагалось на самой яхте у берегов Италии. На ее борту генерировались ложные сигналы, мощность которых была выше настоящих.

Сначала Тодд дублировал настоящие сигналов со спутников, а когда настоящие и искусственные сигналы «слились», то начал повышать мощность спуфинговых сигналов. Навигатор принял их за основной сигнал и стал отфильтровывать настоящий спутник. Затем Тодд плавно менял координаты и увел яхту немного севернее.

Когда отклонение превысило три градуса, капитан судна признал угон состоявшимся. Но Тодду было мало — он подкрутил высоту так, что оборудование воспринимало яхту ниже уровня воды.

2016 Массовые инциденты спуфинга в акватории России

Отчеты CNN и RNT Foundation выявили около 450 инцидентов с конца 2016 года, C4ADS выявили 9 883 инцидентов спуфинга и 1 311 пострадавших от спуфинга коммерческих судов.

2019. Китайский фермер

China flight systems jammed by pig farm’s African swine fever defences

В 2019 году китайские злоумышленники вредили китайским фермерам вот как. Они дронами забрасывали вирус африканской чумы свиней в то место, где паслись хрюшки. Фермеры были вынуждены продавать зараженное мясо злоумышленникам по дешевке, а злоумышленники, в свою очередь, продавали его по нормальной цене, как здоровое. Цены по всему Китаю на свинину подскочили в 2 раза. Заболевания смертельно для животных и неопасно для человека.

Чтобы как-то справиться с дронами китайские фермеры закупили глушилок, но настолько мощных, что те глушили не только дронов с заразой, но и пролетающие на высоте 10 км рейсовые самолеты.

Китайские спуферы создают круги, чтобы скрыть контрабанду нефти

Экоактивисты Skytruth отрапортовали о 20 точках вдоль китайского побережья, где появлялись загадочные GPS-круги. 16 точек — нефтехранилища. Чаще всего круги появлялись в порту Далянь, рядом с Северной Кореей. Даты инцидентов совпадают с американскими санкциями.

Ghost ships, crop circles, and soft gold: A GPS mystery in Shanghai

2019. Tesla Model 3

Аналитики Regulus Cyber отрапортовали об уязвимостях Tesla Model S и Model 3 к спуфингу GPS-сигналов. «Хакеры» смогли заставить автомобиль притормозить и покинуть трассу. (Источник)

2020. Китайские рыбаки-невидимки охотятся на акул

Chinese vessels off Galapagos 'cloaking' in New Zealand

Флотилия из 260 китайских «кораблей-призраков» сообщала ложные сведения о своем местонахождении в водах Новой Зеландии, в то время как они ловили акул у Галапагосских островов.

В 2017 году в морском заповеднике Эквадора было захвачено китайское судно с 300 тоннами исчезающих видов акул на борту. Двадцать членов экипажа были заключены в тюрьму.

Предполагалось, что корабли-невидимки использовали наживку, чтобы выманивать акул из вод Галапагосских островов, а потом вылавливали.

2021. Россия

Кейсы из канала в Твиттере.

Москва под спуфингом

Спуфинг и джамминг часто используют для борьбы с дронами в крупных городах

Для подавления дронов, как правило, используются сочетания следующих подходов:

Помехи в канале управления.

Помех в полосах ГНСС (1176,45/1227,6 ГГц; 1,57542/1,602 ГГц).

GPS/ГЛОНАСС-спуфинг (фальсификация навигационных координат).

Если автоматическая система обнаруживает нелегального дрона, то она включает спуфер, при этом имитируются координаты ближайшего аэропорта. Так как у прошедших сертификацию дронов есть запрет полетов в зоне аэропортов, поэтому они либо совершают посадку, либо экстренно пытаются покинуть эту зону.

Примеры краткосрочного спуфинга ГЛОНАСС и GPS в Москве

Спуфинг на черноморском берегу 23 января 2021

Три долгих периода спуфинга. За 48 часов более 30 часов под спуфингом

Доклад на Kaspersky Industrial CyberSecurity 2021:

В докладе сообщается, что 10-20% времени в течение суток в Москве наблюдается спуфинг.

2022. Джамминг

Дальнобойщики очень часто используют джамминг, порой такой мощный что он глушит все сигналы GPS на километры вокруг.

В рабочее время исследователи (возле оживленного перекрестка в небольшом городе с населением 22 000 человек) обнаруживали в среднем 10 глушителей в час. 12 джамминговых инцидентов в час можно увидеть на картинке

Инцидент непрерывного джамминга в течение 54 минут 19 января 2022 года.

Основной подозреваемый — грузовик в 200 метрах от детектора.

Инцидент непрерывного джамминга в течение 1 часа 45 минут 26 января 2022 года.

До сих пор остается загадкой, зачем водители грузовика используют джаммеры даже при разгрузке товара.

Заключение

Цена спуфинговых атак падает, уже сейчас за 200-300 долларов можно тренироваться в этичном хакерстве, поэтому в ближайшем будущем количество инцидентов будет только расти и стоит подумать как защищать критическую инфраструктуру от столь частого и грубого воздействия.

Сценарии спуфинговых атак на спутниковые системы навигации

Спуфинг подкрался незаметно, хоть виден был издалека

Родитель во Франции, блокируя детям по ночам доступ в интернет, глушил мобильную связь в паре городков

Охота на рыжего демона или пеленгатор помех спутниковой навигации

GPS Spoofing на практике: Как поймать всех покемонов, не выходя из дома

Оригинал

Подпишись, чтобы не пропустить новые интересные посты!

Интерактивная карта инцидентов ГНСС-спуфинга. Была раньше здесь, теперь ее нет.

—  96% специалистов по cybersec игнорируют проблему спуфинга;

—  в 2012 году стоимость атаки была $100 000, в 2022 — всего $500;

—  в 2018 году в продажу поступил GPS Spoofer за $5;

— по роликам на youtube (или гайдам с github) любой человек может запустить свой спуфинг за 15 минут;

— с железом на $1000 можно положить навигацию по всей Москве;

— с 2016 по 2018 обнаружено 9883 инцидента с 1311 судами в Геленджике;

— 85% краж автомобилей происходит с джаммерами;

— 680 форков на GitHub для подделки сигналов GPS;

— каждый год продается 450 000 серверов времени, в мире их уже более 3 млн., от каждого тайм-сервера зависит кусочек критической инфраструктуры.

Термины

GPS, система глобального позиционирования — спутниковая система навигации, обеспечивающая измерение расстояния, времени и определяющая местоположение во всемирной системе координат WGS 84. Позволяет почти при любой погоде определять местоположение в любом месте Земли (исключая приполярные области) и околоземного космического пространства.

GNSS, ГНСС — спутниковая система навигации — система, предназначенная для определения местоположения (географических координат) наземных, водных и воздушных объектов, а также низкоорбитальных космических аппаратов. Спутниковые системы навигации также позволяют получить скорость и направление движения приёмника сигнала. Три спутниковые системы обеспечивают полное покрытие и бесперебойную работу для всего земного шара — GPS, ГЛОНАСС, «Бэйдоу», остальные — DORIS, Galileo

SDR, Программно-определяемая радиосистема — радиопередатчик и/или радиоприёмник, использующий технологию, позволяющую с помощью программного обеспечения устанавливать или изменять рабочие радиочастотные параметры, включая, в частности, диапазон частот, тип модуляции или выходную мощность, за исключением изменения рабочих параметров, используемых в ходе обычной предварительно определённой работы с предварительными установками радиоустройства, согласно той или иной спецификации, или системы.

HackRF One — это устройство, предназначенное для энтузиастов и радиолюбителей, увлеченных изучением радиосигналов, и всего, что с этим связано.

Jummer (джаммер, глушилка) — устройство для умышленного глушения, блокирования или вмешательство в беспроводную связь.

Spoofing (спуфинг) — ситуация, в которой один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества.

Как профессионалы видят спуфинг в реальном времени

Так выглядит обстановка во время «политического кризиса». Более 30 часов GPS и GLONASS спуфинга за 2 дня

Типы атак

— Атаки по сложности, стоимости и эффективности можно разделить на 4 уровня:

— Асинхронные.

— Синхронные.

— Синхронные с несколькими передатчиками.

— Синхронные с несколькими передатчиками на дронах.

— Повторители.

GPS спуфинг при помощи HackRF One

акая конфигурация генерирует только сигналы GPS. Если ваш приемник поддерживает ГЛОНАСС и BeiDou, такой спуфинг невозможен. Galileo тоже уязвим, потому что Galileo и GPS используют один и тот же радиодиапазон. А фальшивый сигнал GPS заблокирует прием сигналов Galileo.

Но иногда мощность поддельного GPS-сигнала настолько высока, что он перегружает входной канал GNSS-приемника, и он уже не может воспринимать ГЛОНАСС и Beidou.

Стоимость атаки: зависит от железа: $320 за HackRF One, $200 за ADALM-Pluto, $480 за bladeRF, $315 за LimeSDR.

Время атаки: От 15 секунд до 5 минут, в зависимости от встроенных алгоритмов настройки автогенератора. Иногда автогенератор перенастраивался на ложный сигнал GPS всего через 15 секунд после начала атаки.

Результат: Если сигнал спуфинга достаточно сильный, GNSS-приемник сервера времени теряет исходные сигналы, прекращает предоставление навигационного решения и переходит в режим поиска. Сервер времени сообщает об ошибке и переходит в режим удержания. Примерно через 10-30 секунд приемник GNSS находит ложные сигналы и выдает ошибочные данные. Сервер времени настраивает встроенный опорный генератор в соответствии с ложными сигналами GNSS.

Дистанция атаки: примерно 50 метров, сильно зависит от условий распространения сигнала. Уровень выходной мощности HackRF One RMS для сигналов GNSS составляет около -10 dBm. Этого достаточно, чтобы подавить реальные сигналы в радиусе 5 км в прямой видимости.

В этом сценарии SDR генерирует асинхронный сигнал, который приемник GNSS воспринимает как шум/помехи, поскольку приемник GNSS привязан только к реальным сигналам. Большая мощность спуфера здесь нужна, чтобы полностью заблокировать прием исходных сигналов и перевести приемник в поисковый режим. На расстоянии 50 метров мощность сигнала спуфера на 40 дБ выше исходных сигналов. Это приводит к перегрузке первого предусилителя приемника GNSS, что приводит к потере подлинного сигнала. Поэтому большая мощность нужна только в первые секунды атаки.

Способы защиты: Защитить сервер времени довольно легко. Вы можете использовать любой современный приемник GNSS, который поддерживает Glonass, Galileo, Beidou. Приемник GNSS автоматически исключает ложные сигналы GPS из расчета навигационного решения из-за больших ошибок псевдодальности/доплеровского смещения по сравнению с другими системами.

GNSS спуфинг при помощи HackRF One и джаммера

Для гарантированного спуфинга приемников GNSS с несколькими созвездиями необходимо только добавить генератор помех GNSS. Который надежно глушит прием сигналов ГЛОНАСС и BeiDou. Необходимо отрегулировать мощность глушителя GNSS и спуфера GPS. Чтобы глушились настоящие сигналы GPS, а фальшивый сигнал принимался.

Стоимость атаки: $320 за HackRF One и $150 USD за джаммер.

Время атаки: такое же, что и в предыдущем случае.

Результат: такой же, что и в предыдущем случае.

Дальность атаки: 100 метров. Выше, чем в первом случае, поскольку для нарушения отслеживания исходных сигналов может использоваться глушитель GNSS. Эта атака более сложна в исполнении, так как необходимо настроить выходную мощность спуфера и джаммера так, чтобы исходные сигналы подавлялись, а поддельные GPS — нет.

Способы защиты: Защитить сервер времени непросто. Почти все доступные на рынке приемники GNSS не могут противостоять этой атаке. Какие алгоритмы защиты можно реализовать на уровне сервера времени?

1. Мониторинг ОСШ. Очень легко отслеживать среднее значение SNR и отключать приемник GNSS, если значение становится нереально высоким. Тем не менее по нашим наблюдениям, в большинстве реальных случаев спуфинга значение SNR снижается при некогерентных атаках. Кроме того, нет проблем с понижением SNR при генерации ложного сигнала.

2. Мониторинг координат. Вы можете отключить приемник GNSS при значительном смещении координат. Паршивый метод, так как злоумышленник может легко смоделировать координаты вашей антенны с приемлемой точностью, чтобы избежать значительного дрейфа.

Первые два метода действительно плохи в случае с серверами времени, и к тому времени, когда вы заметите изменение координат или SNR, будет уже слишком поздно. Эталонный генератор сервера времени уже начал бы подстраиваться под фальшивый сигнал и в конечном итоге давал бы вам неверное время.

3. Мониторинг фазы PPS. Поскольку каждый сервер времени имеет идеальный гетеродин, можно каждую секунду сравнивать фазы PPS от приемника GNSS и гетеродина. В случае всплеска можно мгновенно отключить синхросигнал. (еще есть)

4. Защита на уровне системы. Лучший метод защиты может быть реализован, когда у вас есть несколько распределенных в пространстве серверов времени. Если один из серверов времени начинает выдавать неверную метку времени, вы можете легко отключить его. Производительность метода зависит от качества сети (точность синхронизации через PTP) и количества серверов времени. Но есть и недостатки. В первые секунды спуфинга, когда сервер времени только начинает генерировать неправильное время, может быть затронута критическая инфраструктура, использующая этот конкретный сервер времени. В случае с банком некоторые транзакции могут попасть в базу данных с неправильной отметкой времени.

GNSS спуфинг при помощи HackRF One, джаммера и усилителя радиосигнала

Чтобы увеличить дальность атаки нужны ВЧ-усилитель на 10 Вт с AliExpress и направленная антенна.

Стоимость атаки:

— $320 за HackRF One;

— $150 за джаммер;

— 2 * $300 за усилители;

— 2 * $200 за направленные антенны;

Итого: $1470.

Время атаки: такое же, что и в предыдущем случае.

Результат: такой же, что и в предыдущем случае.

Дальность атаки: 30 км, если установить спуфер на крыше здания высотой 40 метров.

Скорее всего такой мощный сигнал будет немедленно отслежен службами, ответственными за мониторинг радиочастотного спектра. Но высокая мощность нужна только в течение первых секунд, что заставит приемники GNSS потерять след исходных сигналов и перейти в режим поиска. После этого мощность спуфера можно сделать незначительной. И локализация источника атаки уже не будет такой простой задачей.

Способы защиты: Защита на уровне системы не поможет, поскольку могут быть затронуты все серверы времени в системе синхронизации. Без специализированных систем защиты от спуфинга не обойтись.

GNSS спуфинг с синхронизацией. Преднамеренная последовательная атака

Приведенные выше сценарии соответствуют некогерентным атакам. На первом этапе атаки GNSS-приемник теряет связь с реальными спутниками и через некоторое время переключается на фальшивые. Такие атаки характеризуются резкими скачками мощности, фазы PPS и координат и относительно легко обнаруживаются. Но что произойдет, если мы синхронизируемся с реальными сигналами. И на первой фазе атаки мы будем генерировать сигнал, идеально совпадающий с реальным по времени, координатам, псевдодальности, Доплеру, потоку данных и SNR.

Для такой атаки нет возможности загрузить программное обеспечение с GitHub. Вы можете модифицировать один из форков GPS-SDR-SIM самостоятельно или купить имеющиеся в продаже решения ($50к+).

Стоимость атаки: 1500 долларов США при самостоятельной модификации исходного кода GPS-SDR-SIM или 50 000 долларов США за готовые коммерческие доступные решения.

Время атаки: мгновенно.

Дальность атаки: Ограничено только радиогоризонтом.

Результат: Приемник моментально переключается на ложный сигнал. Сервер времени не выдает никаких ошибок или предупреждений и не переходит в режим удержания.

После успешного захвата приемника возможен плавный и контролируемый сдвиг времени и/или координат.

Способы защиты: Предположим вероятную цель такой атаки. Например, можно плавно и незаметно сдвинуть время на 10 мкс в одном из дата-центров, где происходит высокочастотный трейдинг. Тогда злоумышленник может получить преимущество, поскольку их транзакции могут быть отмечены более ранними отметками времени.

Преднамеренные сдвиги во времени могут нарушить работу системы передачи электроэнергии, что приведет к авариям и отключениям электроэнергии.

Небольшая корректировка координат может ввести в заблуждение водителя грузовика банка, и он повернет на несколько кварталов раньше, чем нужно, и попадет в засаду.

Кстати, идеальный случай синхронной атаки может быть выполнен с использованием ретранслятора GNSS. Если на антенну вашего сервера времени попадает сигнал ретранслятора GNSS из ближайшего магазина, у вас постоянно будет небольшой сдвиг во времени.

Существует только один метод защиты сервера времени от такой атаки. Это комбинация систем обнаружения спуфинга с пространственным анализом сигнала (антенная решетка) + альтернативный источник PNT (positioning, navigation, timing).

Оригинал

Подпишись, чтобы не пропустить новые интересные посты!