Kaspersky Lab: gli hacker russi e brasiliani all'attacco dei satelliti utilizzati da navi e aerei.

Kaspersky Lab, azienda russa specializzata in tecnologie e servizi di sicurezza informatica, rivela l'esistenza di un vero e proprio network commerciale, basato in Brasile, che dal 2005 diffonde clandestinamente il software ("toolkit") necessario per condurre campagne di cyber-attacco e spionaggio industriale contro le aziende. Il malware di Poseidon, questo il nome dell'organizzazione, è in grado di accedere ai canali di comunicazione molto diversificati, inclusi i satelliti professionali utilizzati per il supporto alla navigazione in mare. Purtroppo le vulnerabilità dei link satellitari di infrastrutture come Iridium o Inmarsat sono note da tempo. Nel 2014 la società IOActive aveva distribuito un dettagliato whitepaper che spiega i punti deboli delle cosiddette "satcom". Nel caso dei servizi marittimi i rischi sono concreti, le navi potenzialmente possono subire cyberattacchi molto gravi e i pericoli non riguardano solo i canali di comunicazione ma anche i dispositivi di navigazione e comunicazione di bordo, che il malware trasforma in centri di comando e controllo di altri attacchi.

Sul suo blog Securlist e il canale business.kaspersky.com, Kaspersky fornisce qualche spiegazione sugli attacchi per il "dirottamento" dei link satellitari:

During a particular campaign, conventional Poseidon samples were directed to IPs resolving to satellite uplinks. The networks abused were designed for internet communications with ships at sea which span a greater geographical area at nearly global scale, while providing nearly no security for their downlinks.

Queste tecniche, aggiunge Kaspersky, sono le stesse studiate analizzando le imprese degli hacker russi del gruppo Turla:

Kaspersky Lab experts reveals  that they’re achieving this using a trick known as satlink hijacking – a technique this Russian-speaking group has been using since 2007.  It involves exploiting the vulnerability of asynchronous satellite internet connections to sniff traffic, distilling the IP addresses of satellite subscribers. All the attackers need then is to set up their servers with the same IPs, configure these addresses into their malware and, after a successful infection, wait for its call for C&C.

What happens next: the satellite broadcasts the request from an infected machine over the whole area of its coverage. Of course, both attackers and law-abiding subscribers receive this request. But, unlike the attackers’ servers, subscriber systems are extremely unlikely to host any services on particular ports – and this traffic is simply dropped without acknowledgement, as this would increase the burden on the thin cellular upstream channel used in such asynchronous data links. After receiving the malware call, the C&C answers via regular fast landline with a spoofed acknowledgement, which appears to be coming from the same hapless satlink subscriber.

I segreti di Inmarsat con una chiavetta SDR

Nel fantastico mondo della radiopassione ci sono bravi ascoltatori e operatori, geniali autocostruttori di circuiti e apparati e teorici e divulgatori altrettanto abili. Stranamente però è abbastanza raro trovare queste tre qualità radiantistiche riunite in una sola persona. Aldo Moroni è uno di questi personaggi e anche se lui non ama sentirselo dire, io non finirò mai di stupirmi della sua capacità di applicare le proprie doti (che includono la più rara di tutte, l'umiltà) a una vasta quantità di aspetti tecnici e pratici della radiofonia hobbystica, riuscendo ogni volta a trovare una chiave interpretativa personale ma utilissima a tutti noi appassionati.

I suoi ultimi esperimenti ricadono nel complicato dominio "satcom", le comunicazioni da e verso i satelliti. In particolare Aldo si è dedicato a uno dei transponder Inmarsat utilizzati a supporto del traffico aereo civile, su una frequenza intorno agli 1,5 GHz. Le sue osservazioni offrono anche l'opportunità di tornare a fare il punto sulle novità che riguardano il software defined radio, in particolare quello dei ricevitori compatti e wide-band, tipicamente concentrati nella categoria dei "dongle" VHF-UHF e nella variante costituita da apparati che senza essere propriamente delle "pennette o chiavette" sono comunque alloggiati in contenitori che stanno tranquillamente sul palmo della mano. In questo caso le prove effettuate da Aldo consentono di fare qualche significativo confronto tra dongle SDR che utilizzano le quattro tipologie di tuner digitali più diffusi, l'E4000 utilizzato qui da una chiavetta DVB-T e dal dongle specializzato FunCube Pro e le due versioni R820T e 820T2 di Rafael Micro. All'appello mancherebbe una terza tipologia di tuner, progettato da Mirics, oggi presente all'interno di almeno due ricevitori SDR wide band, il FunCube Pro+ (la pennetta-scanner collegata all'iniziativa CubeSat dei radioamatori satellitari britannici) e il più recente SDRPlay, altro prodotto dell'estro ingegneristico inglese che insieme al FunCube Pro di ultima generazione sfrutta le notevoli capacità del tuner multistandard MSi001. Un dispositivo non utilizzato da Aldo ma di grande successo, il ricevitore SDR AirSpy (che oggi, con una spesa contenuta, può essere equipaggiato con un up-converter, SpyVerter, in grado di estendere verso il basso fino alla soglia dei 100 kHz, la copertura di oggetti normalmente pensati per coprire solo gli ultimi MHz della banda HF), si basa in realtà sul tuner R820T2, quindi è assimilabile - se si esclude per il software di demodulazione - a quello qui testato.

Nel documento PDF messo a disposizione dei suoi colleghi, Aldo presenta le misure ottenute, con i diversi dispositivi messi alla prova, nel corso della ricezione del servizio Inmarsat Aero I attivo a 1.545 MHz. Per il suo esperimento Aldo si è ispirato alle spiegazioni fornite nel tutorial realizzato da RTL-SDR.com a sua volta basato sulle dettagliate istruzioni per la ricezione dei satelliti alle frequenze L-band fornite da UHF-satcom. Il manuale del portale delle chiavette SDR parte in realtà dalla ricezione dei servizi per la navigazione marittima di Inmarsat-C (in particolare i messaggi della EGC SafetyNet), ma a parte il software di decodifica utilizzato - il nuovo arrivato JAERO, sviluppato dal neozelandese Jonti Olds - gli accessori al contorno sono gli stessi. Riuscire a sintonizzarsi sulle frequenze Inmarsat non è banale e richiede almeno un amplificatore "low noise" per impianti satellitari domestici. È consigliata una antenna ad alto guadagno, che Aldo ha realizzato seguendo un altro tutorial di RTL-SDR che riporta il video di Adam Alicajic 9A4QV per illustrare il funzionamento di una antenna "patch", composta sostanzialmente da due lamine metalliche quadrangolari. Nelle zone in cui le emittenti FM locali disturbano molto è opportuno utilizzare anche un filtro notch che attenui l'intera banda 88-108 che rischia di saturare il ricevitore SDR. L'antenna patch è sicuramente utile ma lo stesso Aldo ha concluso positivamente alcune prove di ricezione effettuate collegando all'amplificatore LNA una semplice stilo e utilizzando un foglio di carta stagnola come parabola riflettente. 

Adesso vi lascio alla lettura del report di Aldo Moroni, ma in un prossimo post cercherò di fare il punto sulle ultime evoluzioni delle piattaforme software cresciute intorno ai ricevitori SDR perché soprattutto dopo l'arrivo di AirSpy e SDRPlay si stanno moltiplicando le possibilità di fare del monitoraggio serio in ambienti Windows, Linux e OSX. Per le sue prove Aldo ha lavorato in Windows con programmi come HDSDR e la console SDR-radio di Simon Brown.

Niscemi, OK al MUOS. Come funziona e quanto costa il sistema SATCOM dei militari USA

Il tribunale amministrativo ha respinto il ricorso del comune di Niscemi e le antenne del MUOS, Mobile User Objective System, si faranno anche nella base militare della Sicilia orientale. Dalla letteratura che sto acquisendo su Web si tratta di tre parabole da 18,4 metri operative in banda satellitare Ka (le frequenze in downlink del MUOS sono intorno ai 21 GHz, l'uplink dovrebbe essere collocato tra i 27 e i 31 GHz).

Intorno alla base Naval Radio Transmitter Facility di Niscemi, dove sono già ospitate diverse antenne di comunicazione, incluso un impianto LF, sono in corso numerose proteste.

L'ultima ha avuto luogo il 29 ottobre e ha visto alcune coppie di giovani siciliani annunciare l'intenzione di non fare più figli in una zona da loro definita ad altissimo rischio per le radiazioni emesse dalla futura ground station.

Ma che cosè il MUOS? La nuova rete rappresenta l'evoluzione dell'attuale sistema di comunicazione satellitare (SATCOM) UHF meglio nota come UFO (UHF-follow on) e funzionerà esattamente come una rete cellulare operativa nella banda militare UHF. Al posto delle normali cellule terrestri si partirà con quattro satelliti geostazionari più un quinto di backup, che dopo svariati rinvii dovrebbero essere lanciati a partire dal febbrario 2012. La parte di gestione e commutazione terrestre è costuituita da quattro "radio basi" terrestri dislocate in Australia, Hawaii, Virginia e appunto, Sicilia. Perché utilizzare la Ka band se i satelliti forniscono banda UHF per le comunicazioni sul campo? Perché i satelliti accorpano in downlink 32 fasci WCDMA ripartiti in tre flussi modulati in 8-PSK per un throughput complessivo di 2,5 Gbit/sec (ecco una descrizione di General Dynanmics, uno dei contractor del progetto MUOS, per il ricevitore SDR che verrà collegato alle antenne, documento scaricabile da questa pagina informativa sempre firmata General Dynamics). Gli utenti del MUOS potranno comunicare tra loro via voce e dati con bande fino a 40 megabit al secondo e grazie alle quattro postazioni di terra potranno realizzare connessioni punto-punto da qualsiasi località del mondo. Tanto per avere un'idea del costo, ci vogliono circa 540 milioni di dollari per ciascun satellite e il relativo veicolo di lancio. Teoricamente il progetto prevede la realizzazione e la messa in orbita di 10 satelliti, per un costo complessivo di 6 miliardi di dollari (Lockeed-Martin ha già una opzione da 3,2 miliardi per 5 satelliti). Per la realizzazione del segmento di terra, General Dynamics ha firmato un contratto da 830 milioni di dollari.

Il giornalista Antonio Mazzeo segue la vicenda sul suo blog (Antonio è anche autore di un bel libro di inchiesta sul Ponte di Messina, quello che non si farà mai e ci è già costato un badalucco di soldi). Esiste anche un comitato No Muos Niscemi attivo su Web e su Facebook, purtroppo la documentazione fornita sul sito (per esempio questa, che traccia un parallelo tra la ground station di Niscemi e il progetto HAARP in Alaska, bestia nera del complottismo mondiale, risulta alquanto imprecisa).