跳转至

The Dark Side of Scale: Insecurity of Direct-to-Cell Satellite Mega-Constellations

本文依旧与D2C有关, 但侧重于在D2C背景下的攻击

笔者当前对攻击的方式并不关心,更多只是想 "加深背景" + "梳理实验方式" 🫡

本文讲的是 LEO D2C 安全漏洞

攻击模式: 一个贪婪的地面运营商或中间人攻击者, 通过模仿虚假卫星并发送未经验证的“拥塞”信令, 从而阻止城市区域内的所有直连蜂窝卫星服务

Abstract 重点:

  • 攻击模型:
    • 名为 SatOver 的控制平面跨层攻击
    • 贪婪的地面运营商或中间人攻击者能够在城市地区阻塞整个 LEO D2C 巨型星座
  • 攻击实现:
    • 重用 地面LTE/5G基站 或部署现成的 软件定义无线电(SDR) 作为“假卫星”
  • 效果:
    • 攻击者可以隐秘地劫持受害者设备,延迟其卫星接入,阻止它们探测其他卫星,并最终实现阻塞整个巨型星座

Introduction 重点:

  • 背景: “直连蜂窝”(Direct-to-Cell)LEO卫星(如星链、铱星)正在兴起,旨在为普通手机和物联网设备提供无处不在的 LTE/5G 连接,这已成为行业热点。
  • 威胁动机: 这种技术对地面移动运营商构成了“双刃剑”
    • 一方面帮助 MNO 覆盖农村
    • 另一方面也可能在城市地区引发新的竞争(例如来自外国卫星运营商)
    • 这使得一些 MNO 可能出于保护主义动机,试图攻击 D2C 卫星网络
  • 挑战传统认知: 传统观点认为,LEO 巨型星座因其“高机动性”(卫星移动快)和“大规模”(卫星数量多、冗余度高)而难以被有效攻击。
  • 提出新攻击 (SatOver):
    • 本文提出了一种名为 SatOver 的新型控制平面、跨层攻击,旨在挑战上述认知。
    • 该攻击由贪婪的地面运营商或中间人发起,目标是在城市地区(出于保护主义)阻断 D2C 卫星星座服务。
  • 利用的漏洞: SatOver 利用了 D2C 卫星为兼容现有手机而继承的 LTE/5G 协议漏洞,即“明文的广播和注册信令”。
  • 核心攻击机制: SatOver 的创新之处在于利用 LEO 星座的“规模”和“机动性”这两个特性(本应是优势)来放大和混淆攻击
    1. 攻击放大(利用规模): D2C 网络的信令处理依赖集中的地面站,易产生拥塞。SatOver 通过模拟信令拥塞来隐蔽地延迟用户服务请求,从而间接阻塞整个星座。
    2. 攻击混淆(利用机动性): SatOver 通过快速伪造射频(RF)、几何位置和协议特征,将单个攻击者伪装成多个快速移动的真实卫星,使防御变得困难。
  • 攻击效果与验证:
    • 攻击者可利用地面基站或商用SDR(软件定义无线电)充当“虚假卫星”,劫持终端设备并阻止其接入卫星服务。
    • 论文通过真实卫星测试、实验室(Amarisoft NTN 堆栈)和仿真验证了 SatOver 攻击的可行性。
  • 讨论防御: 论文最后也探讨了对抗 SatOver 的防御措施,指出虽然单个设备难以防御,但可以通过协作检测(例如利用不同受害者接收到虚假信号的“到达时间差 TDOA”)来识别和缓解攻击。

Direct-to-Cell Satellite Mega-Constellations 重点:

(1) 地面网络的局限性

传统的地面 LTE/5G 网络虽然成功,但面临三大问题:

  1. 覆盖范围有限 (在农村、海洋等区域存在大量信号盲区)
  2. 资本成本高昂
  3. 易受灾害破坏

(2) LEO 卫星的解决方案

LEO 巨型星座(如 Starlink、Globalstar)通过将卫星部署在更近的轨道(340-2000 km),解决了传统 GEO 卫星(35,786 km)因距离太远而需要专用卫星电话的痛点。这使得普通商用手机(COTS)和物联网设备可以直接连接卫星。

(3) D2C 的技术架构

D2C 卫星通过复用 LTE/5G 协议来扩展地面网络。目前主要有两种方式

  1. 兼容 COTS 设备:卫星(如 Starlink)模拟为地面基站,以兼容未修改的COTS手机 alt text
  2. NTN 标准:3GPP 正在推进 NTN(非地面网络)标准,以优化协议,提高效率并降低终端功耗

目前这两种方式大多采用 bent pipe 模式,即卫星只负责透明转发信号,所有复杂的协议处理都在 Ground Station 完成

(4) SNO 和 MNO 的关系

D2C 卫星与地面移动运营商(TMO)之间存在一种微妙的“合作与竞争并存”的关系。

  • Cooperation:
    • D2C 帮助 TMO 以低成本将其服务扩展到偏远的农村地区(降低 CapEx/OpEx)
    • D2C 帮助 TMO 实现真正的全球漫游,从而增加收入
  • Competition:D2C 卫星的全球覆盖特性使其可以跨越国界! 使得外国运营商可能利用卫星网络,在城市地区与本地运营商竞争用户

这种潜在的城市用户竞争(如文中所举 Starlink 与 AT&T/Dish 的纠纷)引发了本地 TMO 的担忧,并为它们出于 "不公平竞争或保护主义" 而试图恶意阻断 D2C 卫星服务提供了动机。

Attack Validation 重点:

这一部分既包括了 “实网试验”, 也包括了 “prototype 仿真/模拟实验”

alt text

  1. 实网试验 (§5.2)

    • 目的:验证 SatOver 攻击所利用的“信令漏洞”在真实卫星和真实设备上确实存在
    • 设备:他们真的连接了一个在轨的 GEO 卫星,并使用了真实的 IoT-NTN 测试设备和真实的卫星电话(如 Thuraya X5-touch 和 iPhone 15)作为受害者
    • 攻击原型机:USRP B210 (SDR) 硬件和 Sonica 软件栈来扮演攻击者,向真实设备发送虚假信号

  2. Prototype 模拟/仿真实验 (§5.3 & §5.4)

    • 目的 1(实验室 PoC 验证):在受控环境中,完整地验证 SatOver 攻击的所有机制(包括实网测试无法验证的 LEO 动态“混淆”机制),并对比 COTS、IoT-NTN 和 NR-NTN 三种设备
    • 设备 1(实验室):使用了 Amarisoft Callbox。这是一个专业的 3GPP NTN(非地面网络)协议测试套件,它本身就是一个高级的“原型机/模拟器”,可以模拟 LEO 卫星的完整协议栈和动态信道
    • 目的 2(大规模仿真):评估攻击在大范围(如整个美国或中国)部署时的宏观有效性和成本
    • 设备 2(仿真):这部分是纯粹的计算机软件仿真。使用了真实的数据集(如TLE、地面基站的位置分布)来进行 "what-if" 分析,计算攻击成功率

汇总一下试验设备:

类别 硬件 / 软件 / 数据 用途
真实卫星测试 真实 GEO 卫星 (1个):工作在 LTE Band 65,采用“弯管”模式 作为真实的攻击目标
IoT-NTN 测试设备 (合作伙伴提供) 作为真实的 IoT 受害者
卫星电话 (3种):合作伙伴手机、Thuraya X5-touch (开放标准)、iPhone 15 (私有协议) 作为真实的手机受害者
攻击原型机 (PoC) 原型机 1 (实验室):Amarisoft Callbox NR-4-U Ultimate 商用 3GPP IoT/NR-NTN 协议测试套件,用于在受控实验室环境中模拟 SatOver 攻击者和受害者
原型机 2 (真实世界):USRP B210 SDR + 联想笔记本电脑 用于在真实卫星测试中扮演 SatOver 攻击者,运行开源软件
攻击软件 (PoC) Amarisoft 协议栈 (用于原型机 1) 实现了 3GPP-R17 IoT/NR-NTN 协议栈和 LEO 卫星信道模拟器
Sonica (开源 LTE/5G 协议栈,用于原型机 2) 作者对其进行了 NTN 扩展,使其能发动 SatOver 攻击
受害者设备 (Lab/COTS) 商用手机 (COTS):小米 13/11, 华为 Mate 50 Pro, OnePlus 9 用于测试对普通手机的攻击
数据集 (仿真) 真实卫星星历 (TLEs):来自 space-track.org 用于驱动 Amarisoft 模拟器,模拟 LEO 卫星的真实轨道
卫星网络信令:从 Iridium 等真实卫星收集 用于验证信令漏洞
地面 LTE/5G 信令:使用 MobileInsight 工具从 COTS 手机上收集 用于表征 COTS 攻击行为
测试环境 RF 屏蔽箱 用于实验室测试,防止干扰真实卫星和蜂窝网络

从 UE-RAN-CoreNet-WAN 的角度来梳理试验软硬件结合情况:

组件 在 SatOver 实验中的角色 (SDR/Amarisoft) 在标准网络中的位置
UE (Victim) COTS 手机、真实的 IoT-NTN 设备,或 Amarisoft 模拟的 NR-NTN 设备 UE
RAN (Attacker) Sonica 堆栈 + USRP B210 SDR (充当“假卫星”) 无线电接入网络 (基站/卫星)
RRC Protocol Attacker (假卫星) 通过伪造更强的射频信号,在 RRC 层的 Cell Selection 阶段劫持 UE RAN 层协议
CoreNet (NAS) Attacker (假卫星) 伪造核心网的 NAS 响应 理论上在 GS
攻击工作流 攻击方式: UE (发送 RRC/NAS 请求) \(\rightarrow\) SatOver Attacker (Fake RAN) \(\rightarrow\) SatOver Attacker (伪造 NAS 拒绝消息,原因: Congestion) \(\rightarrow\) UE 合法流: UE \(\rightarrow\) 卫星 (RAN) \(\rightarrow\) 地面站 (CoreNet) \(\rightarrow\) WAN
攻击验证的核心点 攻击者无需访问真实的 CoreNet,它只需在空中接口拦截 UE 发送的未加密的初始 NAS 注册请求,并以 NAS 协议允许的“拥塞” 原因, 伪造一个 CoreNet 应该发出的拒绝消息,并携带一个长达 15-30 分钟的回退定时器 SatOver 攻击的核心优势在于,它在 NAS 层伪造了集中式地面站的拥塞,从而利用了巨型星座的“规模”特性进行放大

TLDR: UE-RAN-CoreNet-WAN 这条数据流在实验中被简化为 UE \(\leftrightarrow\) SatOver Attacker (SDR)

其中 SDR (SatOver Attacker) 在 RRC 层充当基站(RAN), 同时在 NAS 层扮演伪造的核心网消息发送者, 从而实现了对合法 CoreNet/WAN 的阻塞.