Satelity ujawniają tajemnice świata: rozmowy telefoniczne, SMS-y, dane wojskowe i korporacyjne

Satelity nieustannie przesyłają dane na Ziemię wokół nas. Można by więc oczekiwać, że ta kosmiczna komunikacja radiowa będzie szyfrowana, aby uniemożliwić szpiegom z anteną satelitarną dostęp do potoku tajnych informacji nieustannie spływających z nieba. W zaskakującym i niepokojącym stopniu byłoby to jednak w błędzie.

Około połowa sygnałów satelitów geostacjonarnych, z których wiele przenosi poufne komunikaty konsumenckie, korporacyjne i rządowe, stała się całkowicie podatna na podsłuchy — ujawnił dziś zespół badaczy z Uniwersytetu Kalifornijskiego w San Diego i Uniwersytetu Maryland w badaniu, które prawdopodobnie znajdzie oddźwięk w branży cyberbezpieczeństwa, firmach telekomunikacyjnych, a także w agencjach wojskowych i wywiadowczych na całym świecie.

Przez trzy lata naukowcy z UCSD i UMD opracowali i wykorzystywali gotowy, wart 800 dolarów system odbiornika satelitarnego, umieszczony na dachu budynku uniwersyteckiego w nadmorskiej dzielnicy La Jolla w San Diego, do odbioru komunikatów satelitów geostacjonarnych w wąskim paśmie kosmosu widocznym z ich punktu obserwacyjnego w południowej Kalifornii. Kierując antenę na różne satelity i poświęcając miesiące na interpretację niejasnych – ale niezabezpieczonych – sygnałów, jakie od nich otrzymywali, naukowcy zgromadzili alarmujący zbiór prywatnych danych: uzyskali próbki treści rozmów telefonicznych i wiadomości tekstowych Amerykanów w sieci komórkowej T-Mobile , dane z przeglądania Wi-Fi przez pasażerów linii lotniczych w trakcie lotu, komunikację z i do infrastruktury krytycznej, takiej jak zakłady energetyczne i morskie platformy wiertnicze i gazowe, a nawet komunikację wojskową i policyjną USA i Meksyku, która ujawniła lokalizację personelu, sprzętu i obiektów.

„To nas kompletnie zszokowało. Niektóre naprawdę kluczowe elementy naszej infrastruktury opierają się na tym ekosystemie satelitarnym i podejrzewaliśmy, że wszystko będzie zaszyfrowane” – mówi Aaron Schulman, profesor UCSD, który współkierował badaniami. „I za każdym razem, gdy odkrywaliśmy coś nowego, to się nie sprawdzało”.

Artykuł grupy, który zaprezentują w tym tygodniu na konferencji Association for Computing Machinery na Tajwanie, nosi tytuł „Don't Look Up” (Nie patrz w górę) – nawiązanie do filmu o tym samym tytule z 2021 roku, ale także sformułowanie, które według naukowców opisuje pozorną strategię cyberbezpieczeństwa globalnego systemu komunikacji satelitarnej. „Zakładali, że nikt nigdy nie będzie sprawdzał i skanował wszystkich tych satelitów, żeby zobaczyć, co się tam znajduje. To była ich metoda bezpieczeństwa” – mówi Schulman. „Po prostu nie sądzili, że ktokolwiek spojrzy w górę”.

Naukowcy twierdzą, że spędzili prawie ostatni rok na ostrzeganiu firm i agencji, których poufne dane ujawniono w komunikacji satelitarnej. Większość z nich, w tym T-Mobile, szybko zareagowała, szyfrując tę ​​komunikację i chroniąc dane. Inni, w tym niektórzy właściciele wrażliwej infrastruktury krytycznej w USA, których naukowcy ostrzegli niedawno – i odmówili ujawnienia ich nazwisk portalowi WIRED – nie wprowadzili jeszcze szyfrowania do swoich systemów satelitarnych. Naukowcy już wcześniej wskazywali na zagrożenia związane z inwigilacją wynikające z nieszyfrowanych połączeń satelitarnych, ale skala i zakres ujawnionych informacji wydają się bezkonkurencyjne.

Naukowcy z UCSD i UMD pozują ze swoim systemem odbiorników satelitarnych na dachu budynku uniwersyteckiego w San Diego. Od lewej do prawej: Annie Dai, Aaron Schulman, Keegan Ryan, Nadia Heninger, Morty Zhang. Na zdjęciu nie ma: Dave Levin.

Dzięki uprzejmości Ryana Kosty

Prace naukowców objęły jedynie niewielki ułamek satelitów geostacjonarnych, których sygnały mogli odebrać z San Diego – około 15 procent działających, według szacunków badaczy. Sugeruje to, że ogromne ilości danych prawdopodobnie nadal są ujawniane za pośrednictwem komunikacji satelitarnej, mówi Matt Green, profesor informatyki na Uniwersytecie Johnsa Hopkinsa, który zajmuje się cyberbezpieczeństwem i dokonał przeglądu badania. Duże obszary danych satelitarnych prawdopodobnie będą narażone na ataki również przez lata, ponieważ firmy i rządy zastanawiają się, czy i jak zabezpieczyć przestarzałe systemy, mówi Green.

„To szaleństwo. Fakt, że tak dużo danych przesyłanych jest przez satelity, które każdy może odebrać za pomocą anteny, jest po prostu niewiarygodny” – mówi Green. „Ten artykuł rozwiąże bardzo niewielką część problemu, ale myślę, że wiele z niego się nie zmieni”.

„Byłbym zszokowany” – dodaje Green – „gdyby agencje wywiadowcze, niezależnie od ich wielkości, nie wykorzystywały już tego zjawiska”.

W szczególności połączenia telefoniczne i wiadomości tekstowe, które uzyskali badacze, zostały ujawnione z powodu często pomijanego przez firmy telekomunikacyjne wykorzystania komunikacji satelitarnej do zapewnienia zasięgu sieci komórkowej zwykłym użytkownikom telefonów, którzy łączą się z wieżami komórkowymi w odległych lokalizacjach. Niektóre wieże na przykład w pustynnych lub górzystych regionach USA łączą się z satelitą, który przekazuje ich sygnały do ​​i z pozostałej części rdzeniowej sieci komórkowej operatora telekomunikacyjnego, a wewnętrzna komunikacja sieci znana jest jako ruch „backhaul”.

Każdy, kto skonfiguruje własny odbiornik satelitarny w tym samym rozległym regionie, co jedna z tych odległych wież komórkowych – często oddalonych nawet o tysiące mil – może odbierać te same sygnały przeznaczone dla tej wieży. Dzięki temu zespół badawczy uzyskał przynajmniej pewną ilość niezaszyfrowanych danych backhaul od operatorów T-Mobile, AT&T Mexico i Telmex.

Dane T-Mobile były szczególnie istotne: w ciągu zaledwie dziewięciu godzin nagrywania satelitarnej komunikacji szkieletowej T-Mobile z jednej anteny, badacze zebrali numery telefonów ponad 2700 użytkowników, a także wszystkie połączenia telefoniczne i SMS-y, które otrzymali w tym czasie. Mogli jednak odczytać lub usłyszeć tylko jedną stronę tych rozmów: treść wiadomości i połączeń wysyłanych do zdalnych wież T-Mobile, a nie wysyłanych z nich do głównej sieci komórkowej, co wymagałoby umieszczenia innej anteny satelitarnej w pobliżu tej, którą T-Mobile zamierzał odbierać po drugiej stronie.

Wieże komórkowe w odległych regionach czasami łączą się z satelitą, który przekazuje ich sygnały do ​​i z pozostałej części rdzeniowej sieci komórkowej operatora telekomunikacyjnego – wewnętrzną komunikację sieci, zwaną ruchem „backhaul”. Każdy, kto skonfiguruje własny odbiornik satelitarny w tym samym rozległym obszarze, co jedna z tych odległych wież komórkowych – często oddalonych o tysiące mil – może odbierać te same sygnały przeznaczone dla tej wieży.

Ilustracja: Zespół WIRED; Getty Images

„Kiedy to wszystko zobaczyliśmy, moje pierwsze pytanie brzmiało: czy właśnie popełniliśmy przestępstwo? Czy po prostu podsłuchiwaliśmy?” – mówi Dave Levin, profesor informatyki na Uniwersytecie Maryland, który współkierował badaniem. W rzeczywistości, jak twierdzi, zespół nie przechwytywał aktywnie żadnej komunikacji, a jedynie biernie podsłuchiwał to, co było wysyłane do ich anteny odbiorczej. „Te sygnały są po prostu nadawane na ponad 40 procent powierzchni Ziemi w dowolnym momencie” – mówi Levin.

Meksykański operator telekomunikacyjny Telmex również transmitował niezaszyfrowane połączenia głosowe, jak odkryli badacze. Odkryli również, że AT&T Mexico przesyłał surowe dane przez satelity, obejmujące ruch internetowy użytkowników – w większości szyfrowany protokołem HTTPS przez używane przez nich aplikacje lub przeglądarki – a także metadane połączeń i wiadomości tekstowych. Znaleźli również klucze deszyfrujące, które zdaniem badaczy mogły zostać użyte do odszyfrowania innych poufnych informacji przesyłanych przez sieć AT&T Mexico – choć nie podjęli takiej próby.

Począwszy od grudnia 2024 roku, badacze nawiązali kontakt z operatorami telekomunikacyjnymi, których dotyczył incydent. T-Mobile zareagował, szyfrując transmisje satelitarne w ciągu kilku tygodni, ale reakcje innych operatorów komórkowych były mieszane.

„W zeszłym roku badania te pomogły wykryć problem z szyfrowaniem u dostawcy, który wystąpił w ograniczonej liczbie transmisji satelitarnych z bardzo małej liczby stacji bazowych. Szybko go rozwiązano” – powiedział rzecznik T-Mobile, dodając, że problem „nie dotyczył całej sieci” i że firma podjęła kroki, aby „zapewnić, że taka sytuacja się nie powtórzy”.

Rzecznik AT&T twierdzi, że firma „niezwłocznie” naprawiła problem. „Dostawca satelitów błędnie skonfigurował niewielką liczbę wież komórkowych w odległym regionie Meksyku” – dodaje. Telmex nie odpowiedział na prośbę WIRED o komentarz.

Otwartą kwestią pozostaje, czy inni operatorzy komórkowi w Stanach Zjednoczonych i na świecie – poza zasięgiem anteny satelitarnej badaczy – zaszyfrowali dane przesyłane przez sieć satelitarną. Naukowcy twierdzą, że nie zaobserwowali żadnego niezaszyfrowanego ruchu Verizon ani AT&T US z ich anteny.

Rzecznik AT&T twierdzi, że sieci AT&T w USA i Meksyku są oddzielne i „rzadko” wykorzystuje się satelity do transmisji danych komórkowych. „Zazwyczaj kierujemy ruch przez naszą zamkniętą, bezpieczną sieć szkieletową” – wyjaśnia rzecznik. „W tych rzadkich przypadkach, gdy dane muszą być przesyłane poza naszą zamkniętą sieć, naszą polityką jest ich szyfrowanie”. Verizon nie odpowiedział na prośbę WIRED o komentarz.

Poza wieżami komórkowymi w odległych lokalizacjach, brak szyfrowania danych przesyłanych przez sieć komórkową może narazić na atak każdego w tej samej sieci, zauważa Green z Johns Hopkins University. Hakerzy mogą przeprowadzić tzw. atak retransmisyjny z wykorzystaniem podrobionej wieży komórkowej – używając sprzętu szpiegującego, czasami nazywanego stingray lub IMSI catcher – i skierować dane ofiary do wieży komórkowej, która łączy się z satelitarnym łączem uplink. „Implikacje tego nie ograniczają się tylko do tego, że jakiś biedak na pustyni używa swojej wieży komórkowej z niezaszyfrowanym łączem backhaul” – mówi Green. „Można to potencjalnie przekształcić w atak na każdego, gdziekolwiek w kraju”.

Antena satelitarna badaczy wykryła również znaczną ilość niezabezpieczonej komunikacji wojskowej i organów ścigania. Uzyskali oni na przykład niezaszyfrowaną komunikację internetową z okrętów wojennych USA, a także nazwy tych okrętów. (Rzecznik Agencji Systemów Informacyjnych Departamentu Obrony USA potwierdził prośbę WIRED o komentarz, ale nie udzielił odpowiedzi do momentu publikacji artykułu).

W przypadku meksykańskiego wojska i organów ścigania skala narażenia była znacznie gorsza: badacze twierdzą, że odkryli coś, co wyglądało na niezaszyfrowaną komunikację ze zdalnymi centrami dowodzenia, placówkami nadzoru i jednostkami meksykańskiego wojska i organów ścigania. W niektórych przypadkach zaobserwowali niezabezpieczoną transmisję poufnych informacji wywiadowczych dotyczących takich działań jak handel narkotykami. W innych przypadkach znaleźli zapisy śledzenia zasobów wojskowych i konserwacji samolotów, takich jak śmigłowce Mil Mi-17 i UH-60 Black Hawk, okręty wojenne i pojazdy opancerzone, a także ich lokalizację i szczegóły misji. „Kiedy zaczęliśmy widzieć wojskowe śmigłowce, niepokoiła nas niekoniecznie sama ilość danych, ale ich wyjątkowa wrażliwość” – mówi Schulman. Meksykańskie wojsko nie odpowiedziało natychmiast na prośby WIRED o komentarz.

Równie wrażliwa była zapewne komunikacja systemów przemysłowych z infrastrukturą krytyczną, taką jak sieci energetyczne i morskie platformy wiertnicze i gazowe. W jednym przypadku stwierdzono, że Comisión Federal de Electricidad (CFE), meksykańska państwowa firma energetyczna obsługująca prawie 50 milionów klientów, przesyłała swoją wewnętrzną komunikację w sposób jawny – od zleceń roboczych zawierających nazwiska i adresy klientów, po komunikaty dotyczące awarii sprzętu i zagrożeń bezpieczeństwa. (Rzecznik CFE potwierdził prośbę WIRED o komentarz, ale nie udzielił odpowiedzi przed publikacją).

W innych przypadkach, których szczegóły nie zostały jeszcze ujawnione publicznie, badacze twierdzą, że ostrzegali również amerykańskich właścicieli infrastruktury przed niezaszyfrowaną komunikacją satelitarną wykorzystywaną w oprogramowaniu systemów sterowania przemysłowego. W rozmowach telefonicznych z tymi właścicielami infrastruktury niektórzy z nich wyrażali nawet obawy, że ktoś o złych zamiarach mógłby nie tylko inwigilować systemy sterowania ich obiektów, ale także, przy odpowiednim poziomie zaawansowania, potencjalnie je dezaktywować lub podrobić, aby zakłócić działanie obiektu.

Badacze uzyskali ogromny zbiór innych różnorodnych danych korporacyjnych i konsumenckich: pobrali dane z pokładowych sieci Wi-Fi dla systemów Intelsat i Panasonic używanych przez 10 różnych linii lotniczych. W tych danych znaleźli niezaszyfrowane metadane dotyczące aktywności użytkowników w sieci, a nawet niezaszyfrowane pliki audio programów informacyjnych i meczów sportowych transmitowanych do użytkowników. Uzyskali również firmowe e-maile i rejestry inwentaryzacyjne meksykańskiej spółki zależnej Walmartu, łączności satelitarnej z bankomatami zarządzanymi przez Santander Mexico, a także meksykańskich banków Banjercito i Banorte.

Rzecznik Panasonic Avionics Corporation powiedział, że firma „z zadowoleniem przyjmuje ustalenia” badaczy, ale twierdzi, że „stwierdziła, że ​​kilka stwierdzeń przypisywanych nam jest albo nieścisłych, albo przeinacza nasze stanowisko”. Zapytany o to, rzecznik nie sprecyzował, co firma uważa za nieścisłe. „Nasze systemy łączności satelitarnej są zaprojektowane tak, aby każda sesja danych użytkownika była zgodna z ustalonymi protokołami bezpieczeństwa” – powiedział rzecznik.

„Zazwyczaj nasi użytkownicy wybierają szyfrowanie stosowane w komunikacji, dostosowując je do swoich konkretnych potrzeb lub zastosowań” – mówi rzecznik SES, spółki macierzystej Intelsat. „Na przykład, dla klientów SES korzystających z pokładów samolotów, SES zapewnia publiczne połączenie Wi-Fi, podobne do publicznego internetu dostępnego w kawiarniach czy hotelach. W takich sieciach publicznych ruch użytkowników byłby szyfrowany podczas dostępu do strony internetowej za pośrednictwem protokołu HTTPS/TLS lub podczas komunikacji za pośrednictwem wirtualnej sieci prywatnej”.

W kwietniu tego roku badacze zgłosili do CERT-MX, krajowego zespołu reagowania na incydenty, który jest częścią Gwardii Narodowej, szereg niezaszyfrowanych komunikatów satelitarnych pochodzących od meksykańskiego rządu i meksykańskich organizacji, zanim skontaktowali się z firmami. CERT-MX nie odpowiedział na wielokrotne prośby WIRED o komentarz.

Rzecznik Santander Mexico twierdzi, że żadne dane klientów ani transakcje nie zostały naruszone, ale potwierdził, że ujawniony ruch był powiązany z „niewielką grupą” bankomatów używanych w odległych rejonach Meksyku, gdzie jedyną dostępną opcją jest korzystanie z połączeń satelitarnych. „Chociaż ruch ten nie stanowi zagrożenia dla naszych klientów, potraktowaliśmy zgłoszenie jako okazję do wprowadzenia ulepszeń i wdrożyliśmy środki wzmacniające poufność ruchu technicznego przesyłanego tymi łączami” – mówi rzecznik.

„Chociaż nie możemy podać szczegółów, możemy potwierdzić, że nasze linie komunikacyjne zostały sprawdzone i uznane za bezpieczne” – mówi rzecznik Walmartu. (Badacze potwierdzają, że zauważyli, iż Walmart zaszyfrował swoją komunikację satelitarną w odpowiedzi na ich ostrzeżenie).

„Informacje naszych klientów i infrastruktura nie są narażone na żadne luki w zabezpieczeniach” – mówi rzecznik Grupo Financiero Banorte. Z Banjercito nie udało się skontaktować w celu uzyskania komentarza.

„SIA i jej członkowie nadal skrupulatnie monitorują sytuację zagrożenia i nadal uczestniczą w różnych działaniach na rzecz bezpieczeństwa z agencjami rządowymi, branżowymi grupami roboczymi i międzynarodowymi organizacjami normalizacyjnymi” – mówi Tom Stroup, prezes Stowarzyszenia Przemysłu Satelitarnego, dodając, że nie komentuje ono kwestii dotyczących konkretnych firm.

Ilość danych dotyczących Meksyku w wynikach badań naukowców nie jest oczywiście przypadkowa. Chociaż ich antena satelitarna była technicznie w stanie odbierać transmisje z około jednej czwartej nieba, znaczna część tego pasma obejmowała Ocean Spokojny, nad którym znajduje się stosunkowo niewiele satelitów, a tylko niewielka część transponderów na satelitach, które udało się zarejestrować, transmitowała dane w kierunku anteny. W rezultacie, jak szacują naukowcy, zbadali zaledwie 15 procent globalnej komunikacji transponderów satelitarnych, głównie w zachodniej części Stanów Zjednoczonych i Meksyku.

Satelity geostacjonarne otaczają równik Ziemi. Antena satelitarna naukowców, umieszczona na dachu budynku Uniwersytetu Kalifornijskiego w San Diego, była w stanie odebrać przynajmniej część sygnałów z około jednej czwartej tego pierścienia. Ponieważ jednak wiele sygnałów z satelitów nie było transmitowanych w kierunku San Diego – a znaczna część ich zasięgu obejmowała Ocean Spokojny, gdzie znajdowało się stosunkowo niewiele satelitów – odbierali oni jedynie około 15% wszystkich sygnałów z satelitów geostacjonarnych. Oznacza to również, że inne anteny umieszczone w innych częściach świata prawdopodobnie odbierałyby zupełnie inne sygnały, transmitujące inne wrażliwe dane.

Ilustracja: Zespół WIRED; Getty Images

Sugeruje to, że każdy mógłby zainstalować podobny sprzęt gdzie indziej na świecie i prawdopodobnie uzyskać własny zbiór poufnych informacji. W końcu naukowcy ograniczyli swój eksperyment wyłącznie do standardowego sprzętu satelitarnego: anteny satelitarnej za 185 dolarów, uchwytu dachowego za 140 dolarów z silnikiem za 195 dolarów oraz karty tunera za 230 dolarów, co łącznie dało niecałe 800 dolarów.

„To nie były zasoby na poziomie NSA. To były zasoby na poziomie użytkownika DirecTV. Próg wejścia dla tego rodzaju ataku jest niezwykle niski” – mówi Matt Blaze, informatyk i kryptograf z Uniwersytetu Georgetown oraz profesor prawa na Georgetown Law. „W ciągu najbliższego tygodnia będziemy mieli setki, a może tysiące ludzi, z których wielu nie powie nam, co robią, powtarzających tę pracę i sprawdzających, co uda im się znaleźć na niebie”.

Jak twierdzą naukowcy, jedną z niewielu przeszkód w powieleniu ich pracy prawdopodobnie będą setki godzin spędzonych na dachu, dostosowując satelitę. Jeśli chodzi o dogłębną, wysoce techniczną analizę mało znanych protokołów danych, które uzyskali, teraz również może być łatwiejsza do powtórzenia: naukowcy udostępniają na Githubie własne, otwarte narzędzie do interpretacji danych satelitarnych, również o nazwie „Don't Look Up”.

Prace naukowców mogą, jak przyznają, umożliwić innym, o mniej dobrych intencjach, wydobycie tych samych, wysoce poufnych danych z kosmosu. Twierdzą jednak, że skłonią również większą liczbę właścicieli danych z komunikacji satelitarnej do ich szyfrowania, aby chronić siebie i swoich klientów. „Dopóki będziemy po stronie wykrywania rzeczy, które są niebezpieczne, i ich zabezpieczania, będziemy z tego bardzo zadowoleni” – mówi Schulman.

Nie ma wątpliwości, twierdzą, że agencje wywiadowcze dysponujące znacznie lepszym sprzętem do odbioru satelitarnego analizują te same niezaszyfrowane dane od lat. W rzeczywistości wskazują, że amerykańska Agencja Bezpieczeństwa Narodowego (NSA) ostrzegała w komunikacie bezpieczeństwa z 2022 roku o braku szyfrowania w komunikacji satelitarnej. Jednocześnie zakładają, że NSA – i każda inna agencja wywiadowcza, od Rosji po Chiny – zainstalowała anteny satelitarne na całym świecie, aby wykorzystać ten sam brak zabezpieczeń. (NSA nie odpowiedziała na prośbę WIRED o komentarz).

„Jeśli oni tego jeszcze nie robią” – żartuje profesor kryptografii na Uniwersytecie Kalifornijskim w San Diego, Nadia Heninger, która współkierowała badaniem – „to gdzie idą moje podatki?”

Heninger porównuje odkrycia dokonane w ich badaniu – ogromną skalę niezabezpieczonych danych satelitarnych dostępnych na wyciągnięcie ręki – do niektórych rewelacji Edwarda Snowdena , które wykazały, w jaki sposób NSA i brytyjska GCHQ zdobywały dane telekomunikacyjne i internetowe na ogromną skalę, często potajemnie uzyskując bezpośredni dostęp do infrastruktury komunikacyjnej.

„Model zagrożenia, który wszyscy mieli na myśli, polegał na tym, że musimy wszystko szyfrować, ponieważ rządy podsłuchują podmorskie światłowody lub zmuszają firmy telekomunikacyjne do udostępniania im danych” – mówi Heninger. „A teraz widzimy, że ten sam rodzaj danych jest po prostu transmitowany do dużej części planety”.