F-35: анализ киберрисков истребителей пятого поколения

(Ди Алессандро Фиори)
12/09/19

Следующая статья предназначена только для ознакомительных, иллюстративных и учебных целей. «Тесты», выполненные в статье, являются не реальными тестами на инфраструктурах или сетях других, а простым исследованием и анализом общедоступных данных, обнаруженных с помощью третьих платформ.

Каждый реальный тест ДОЛЖЕН выполняться после ПИСЬМЕННОГО СОГЛАСИЯ владельца анализируемой сети или инфраструктуры.

Любой тест, выполненный без явного письменного согласия, является НЕЗАКОННЫМ.

Jet F-35 Lightning II - истребитель пятого поколения, разработанный американским Lockheed Martin, рожденный как многоцелевой самолет-невидимка, для господства в воздухе.

Были разработаны три разные модели:

- модель F-35A CTOL - обычный взлет и посадка или модель с обычным взлетом и посадкой

- модель F-35B STOVL - модель с коротким взлетом и вертикальной посадкой, модель с коротким взлетом и вертикальной посадкой

- модель F-35C CATOBAR - взлет с катапультой, но модель с взлетом с катапультой и отключением при помощи кабеля.

Эта модель, в частности, с учетом взлетно-посадочной системы, предназначена для авианосцев.

Поскольку самолет должен быть в состоянии работать в любой ситуации и иметь разные системы взлета и посадки в зависимости от модели, с технологической точки зрения все превращается в очень сложную систему, состоящую из нескольких подсистем с компонентами. аппаратное и программное обеспечение взаимосвязано.

Самолет спроектирован для достижения превосходства в воздухе благодаря вооружению и обмену информацией, для этого была создана реальная сеть с двумя системами поддержки пилотов и операторов, к которым истребитель постоянно подключен благодаря двум разработанные для этой цели программные системы, система ALIS и система JRE.

Система ALIS (Autonomic Logistics Information System) поддерживает операции по техническому обслуживанию воздушных судов, позволяя операторам заменить компонент или просто централизованно управлять состоянием воздушного судна, увеличивая доступность самого воздушного судна.

Более того, с помощью ALIS можно создавать и поддерживать общее планирование операций.

Углубленный анализ этой системы доступен непосредственно на сайте производителя истребителя (ссылке).

Система JRE (Joint Reprogramming Enterprise) представляет собой общую базу данных, которая позволяет обмениваться информацией между союзниками операции.

Например, если F-35 обнаружит вражеский радар, эта информация будет передана, и все союзники узнают о существовании этого радара, что упростит реализацию возможной стратегии или просто позволит избежать того, чтобы все союзные силы должны были найти информацию по очереди.

Этот тип обмена информацией является ключевым фактором успеха миссии, но поскольку система воздушного судна подключена к сети для их обмена, это может скрыть серьезные проблемы в области ИТ-безопасности, которые могут поставить под угрозу результат для которого этот боец ​​был создан.

Чтобы понять риски, связанные с этими системами, мы анализируем как системы на борту истребителя, так и сеть, к которой он подключается, путем анализа общедоступные данные, доступны на сторонних платформах и доступны онлайн.

F-35 имеет сложную систему обработки, и каждая система обработки имеет свою собственную операционную систему.

Операционная система (OS - Operating System) - это программное обеспечение, которое управляет как аппаратными, так и программными компонентами компьютера.

Операционная система, оснащенная F-35, относится к типу «реального времени», то есть к ОС определенного типа, которая должна реагировать на разработки в заранее установленное фиксированное время, точно в Реальное время.

Рассматриваемая ОС - это ОСРВ INTEGRITY (сокращение от «Операционная система реального времени»), разработанная Green Hills.

В настоящее время эта ОС присутствует, как и в F-35, также в бомбардировщике-невидимке B-2, в истребителе F-16, в истребителе F-22. Raptor и в гражданском самолете Airbus A380.

При необходимости управлять системами критической важности, ОС защищена одним песочницаили защищенную область, изолированную от остальных аппаратных и программных компонентов.

Чтобы можно было лучше объяснить концепцию операционной системы в одном песочницаВы можете представить себе комнату (систему) с сейфом в центре (песочницей), защищенным сильной комбинацией (паролем) и, возможно, сигнализацией (брандмауэр).

Внутри сейфа (и, следовательно, внутри песочницы) находится «сердце» системы, которое имеет наибольшую ценность и выполняет самые важные операции.

Защитите ОС, заключив ее в одну песочница следовательно, это позволяет повысить общий уровень безопасности всей системы.

рассказ песочница состоит из различных компонентов, таких как Interpeak IPShell, Interpeak IPWEBS и Interpeak IPCOMShell.

Первый серьезный риск связан с некоторыми уязвимостями, способными обойти песочница, чтобы общаться напрямую с операционной системой и иметь возможность выполнять команды:

https://github.com/bl4ckic3/GHS-Bugs

Уязвимости были обнаружены и помечены с помощью CVE (общие уязвимости и уязвимости) или, точнее, уникальными кодами распознавания уязвимостей:

CVE-2019-7711 - https://nvd.nist.gov/vuln/detail/CVE-2019-7711

CVE-2019-7712 - https://nvd.nist.gov/vuln/detail/CVE-2019-7712

CVE-2019-7713 - https://nvd.nist.gov/vuln/detail/CVE-2019-7713

CVE-2019-7714 - https://nvd.nist.gov/vuln/detail/CVE-2019-7714

CVE-2019-7715 - https://nvd.nist.gov/vuln/detail/CVE-2019-7715

Найденные уязвимости связаны с версией Integrity RTOS 5.0.4.

Второй риск связан с взаимосвязанным характером подсистем самолета, потому что, если злоумышленник может проникнуть во вспомогательную систему, например, в GPS, он также может получить доступ к центральной системе, ставя под угрозу весь самолет.

Эта возможность в сочетании с описанными выше уязвимостями может представлять серьезную угрозу безопасности пилотов и выполняемых ими задач.

Как указывалось ранее, истинная природа истребителя F-35 заключается не в том, чтобы быть «автономным» самолетом, а в подлинной эволюции - сети поддержки и обмена данными с другими самолетами.

Эта огромная сила может легко превратиться в уязвимость, поскольку, будучи подключенной к внешней сети, она потенциально уязвима.

Сеть поддержки охоты состоит из нескольких национальных "хабов" или узлов связи, которые, однако, относятся к двум центральным узлам, управляемым Lockheed Martin в Форт-Уэрте, штат Техас, и Орландо, штат Флорида.

В этих двух узлах передается вся информация, присутствующая в периферийных узлах.

Некоторые эксперты вызывают много сомнений и разногласий по поводу объема информации, передаваемой в Lockheed Martin, и утверждают, что они более чем необходимы.

Этот тип сети может представлять серьезный риск, поскольку, несмотря на тот факт, что эти центры обработки данных (то есть серия серверов, обрабатывающих информацию, полученную от внешних узлов) имеют чрезвычайно высокие меры безопасности, если бы были достигнуты компромиссы, была бы скомпрометирована вся сеть связанных истребителей, что в худшем случае привело бы к неспособности боевого состава всего флота F-35.

Эту гипотезу, какой бы невероятной она ни была, не следует рассматривать как отдаленную, поскольку внутри центра обработки данных могут существовать операторы, которые могут совершать самые разные операции по ошибке (или, в худшем случае, преднамеренно вредно), используя свое положение.

Этот тип угрозы называется «внутренней угрозой» (или «внутренней угрозой»).

Эта возможность внутренней угрозы, следовательно, заставляет экспертов задуматься о том, как Локхид Мартин управляет данными и всей сетью, относящейся к миссиям, наиболее подходящим образом.

В связи с этим мы можем попытаться найти признаки обесценения или «подсказки», которые можно отследить до возможного компромисса в сети Lockheed Martin.

Очевидно, что этот анализ следует рассматривать только как пример, и полученные данные могут оказаться ложноположительными, поскольку они могли быть получены соблазн (операционные системы, специально установленные для отвлечения противника от реальных систем) или от других систем сигнализации, которые уже нейтрализовали возможную угрозу.

Кроме того, анализ выполняется с использованием исключительно данных из открытых источников, а не непосредственно в соответствующей сети, что увеличивает вероятность ложного срабатывания.

Платформой, на которой мы будем проводить анализ, является ThreatCrowd, бесплатная платформа, которая опирается на данные других платформ, таких как VirusTotal, и рисует график, представляющий соединения, сделанные в сети.

Результаты, возвращаемые платформой, могут быть четырех типов:

- IP - IP-адреса, подключенные к анализируемому домену, не обязательно вредоносные

- Электронная почта - сервер или адреса электронной почты, подключенные к домену

- Субдомены - Субдомены, напрямую связанные с анализируемым доменом

- Hash - буквенно-цифровые строки, представляющие файлы, обнаруженные различными платформами, подключенными к ThreatCrowd, не обязательно вредоносные.

Вот платформа ThreatCrowd:

источник: https://www.threatcrowd.org/

В поле поиска вводим домен «lockheedmartin.com».

источник: https://www.threatcrowd.org/

Платформа возвращает график соединений, которые имеют место во внутренней сети и в различных поддоменах:

Нажав на соответствующую кнопку в левом верхнем углу, мы можем проанализировать результат в виде таблицы:

источник: https://www.threatcrowd.org/

Анализируя результат, мы видим, что нет хэшей, а есть только субдомены, IP-адреса и электронная почта.

Наличие хеша на платформе указывает на то, что со временем различные платформы, с которых ThreatCrowd извлекает данные, сигнализируют о наличии вредоносных файлов, в этом случае хэши можно интерпретировать как «сигнатуры» вируса.

Хотя это не указывает на прямой компромисс, так как эти предупреждения могут также генерироваться системами защиты от вторжений, установленными для защиты Домена, этот индикатор, безусловно, является важным индикатором, поскольку он может выделить возможный прошлый инцидент безопасности.

Поэтому, похоже, не существует какого-либо определенного показателя компромисса, по крайней мере, на поверхности.

Чтобы пойти немного глубже, нам нужно индивидуально проанализировать результаты, возвращаемые ThreatCrowd.

Первый результат, полезный для анализа, - это адрес электронной почты. lm-nic@lmco.com из которых платформа возвращает пять полезных хэшей:

e21b3469b4fc1efddf76d8c89f1ebb2a

709622547c3e4b44144047282940995b

11769c481554f793ec20fe2b0189a751

4ca7d150cc798011d5cb7d4c5be89f41

9844a1b8a10ed4568240ae7a528bef5d

Чтобы убедиться, что эти хэши ссылаются на вредоносные файлы, мы вставляем эти значения в VirusTotal для проверки результатов.

VirusTotal - это особая платформа, на которой пользователь может загружать файлы любого типа, чтобы их автоматически анализировали многочисленные антивирусные движки.

Результаты сканирования на вирусы затем передаются на платформу, которая проверяет соединения, сделанные этими файлами, в одном песочница, чтобы сделать анализ более полным.

Поскольку платформа может анализировать файлы и веб-сайты, она представляется ценным инструментом для поиска индикаторов компрометации во внешних сетях без проведения инвазивного анализа.

Это результат VirusTotal первого хэша:

источник: https://www.virustotal.com

Как видите, этот файл оказывается вредоносным, но чтобы проверить, может ли он быть реальным показателем компрометации, нам нужно проанализировать, имеются ли для обнаруженной электронной почты недавние сообщения о предполагаемой инфекции.

Мы не можем напрямую искать адрес электронной почты, но мы можем искать в VirusTotal для домена "lmco.com".

источник: https://www.virustotal.com

Как видите, платформа обнаруживает, что существует больше подозрительных файлов 10, которые связываются с анализируемым доменом.

Чтобы просмотреть подозрительные файлы, нажмите «Отношения»

источник: https://www.virustotal.com

Как мы видим, существует множество вредоносных файлов, которые связываются с доменом «lmco.com», подключенным к домену «lockheedmartin.com», чья дата (19 / 08 / 2019) очень близка к дате написания статьи ( 20 / 08 / 2019).

Это может представлять собой продолжающуюся атаку, но так как это также может происходить от соблазнСистемы предотвращения вторжений (т. Е. Системы, созданные для предотвращения угроз до того, как они достигают задействованных серверов), Антивирусы или другие системы анализа, еще раз, мы не уверены, что атака действительно существует (но все же ее можно считать показателем компрометации). ,

Еще один показатель можно увидеть, проанализировав домен «lockheedmartin.com»

источник: https://www.virustotal.com

В этом случае есть два обнаруженных файла, которые связываются с доменом, с датами, очень близкими к анализу.

Есть также несколько файлов, в которых присутствует анализируемый домен (раздел «Ссылающиеся файлы»)

Фактически VirusTotal не только анализирует соединения, которые устанавливаются вредоносными файлами, но и анализирует содержимое файлов (тела) и анализирует их в поисках доменов, IP-адресов и текстовых строк, которые могут быть полезны для последующего анализа.

Чтобы получить более широкое представление об анализируемых системах, давайте попробуем найти в Shodan (поисковой системе, созданной для поиска устройств, подключенных к сети) строку «lockheed martin»:

источник: https://www.shodan.io/

Как показано на скриншоте, мы видим, что есть общедоступные серверы с включенным протоколом RDP (Remote Desktop Protocol - Remote Desktop).

Это, очевидно, нельзя считать показателем компромисса, но, безусловно, представляет риск из-за многочисленных уязвимостей, влияющих на этот протокол.

При этом мы хотим еще раз подчеркнуть, что это не означает, что обнаруженные серверы уязвимы, но при анализе это следует учитывать как возможный риск..

Этот тип анализа полезен, поскольку, поскольку внутренняя сеть неизвестна, учитывая наихудший случай, внутренняя система может быть подключена к центральным центрам обмена, с которыми взаимодействуют системы ALIS и JRE.

Хотя анализ является внешним и все ограничения случая были приняты во внимание, до публикации этой статьи компания уже связывалась с этими показателями, поскольку она управляет критической системой.

Ограничиваясь анализом киберрисков F-35, я помню, что самолет может оснащать бомбы B-61 или водородные ядерные боеголовки (поэтому сами системы Lockheed Martin и F-35 считаются критическими системами) ,

Очевидно, что F-35 не подвержен только кибер-проблемам, в июне 2019 только 8,7% испытательного флота достигли полной боеспособности, по сравнению с заложенным в бюджет значением 80%.

Сама программа очень дорогая, по оценкам, только Италия потратила 4 млрд. На сегодняшний день на финансирование проекта, и в настоящее время в Италии есть полная производственная линия, которой управляет Леонардо, в Камери (v.articolo)

Наибольший риск, с этой точки зрения, является чисто промышленным и представлен возможностью того, что завод Cameri может быть без самолетов, которые будут построены 2023.

Для Италии это действительно может быть темой для быстрого рассмотрения, поскольку этот риск может легко превратиться в прекрасную возможность для страны.

В дополнение к анализируемым здесь кибер-рискам и неэффективности, о которой сообщается в ходе испытаний, следует добавить, что новые истребители шестого поколения проходят испытания и планируются, но, поскольку разработка этих истребителей находится на ранней стадии, она не представляет прямой риск для F-35.

Для углубления:

https://it.wikipedia.org/wiki/Lockheed_Martin_F-35_Lightning_II

https://www.lockheedmartin.com/en-us/products/autonomic-logistics-information-system-alis.html

https://www.theregister.co.uk/2019/03/28/f35_software_fail/

https://www.documentcloud.org/documents/5000528-GAO-Cybersecurity-Report-2018.html

https://www.documentcloud.org/documents/5736009-FY2018-DOT-E-F35-Report.html#document/p8/a483617

https://www.theregister.co.uk/2018/01/30/f35_dote_report_software_snafus/

https://www.ghs.com/products/safety_critical/integrity-do-178b.html

https://www.pogo.org/investigation/2019/03/f-35-far-from-ready-to-face-current-or-future-threats/

https://www.repubblica.it/esteri/2018/08/27/news/f-35_il_cavallo_di_troia_del_software_che_dice_tutto_agli_americani-205027485/

https://fightersweep.com/10783/hacking-the-f-35-turning-the-fighters-biggest-strength-into-its-biggest-weakness/

https://www.lantidiplomatico.it/dettnews-ancora_problemi_per_il_caccia_f35_gli_stati_uniti_dovrebbero_interrompere_il_costoso_programma/27922_30154/

https://www.dote.osd.mil/pub/reports/FY2018/pdf/dod/2018f35jsf.pdf

https://www.airforce-technology.com/features/future-fighter-aircraft-sixth-generation/

https://www.lantidiplomatico.it/dettnews-f35_gi_obsoleti_inizia_la_guerra_dei_caccia_di_sesta_generazione_tempest_faxx_ngf_sukhoi_okhotnik_mikoyan_mig41_e_mitsubishi_f3/27922_29983/

https://www.defenseindustrydaily.com/you-can-track-your-f-35s-at-alis-maintenance-hub-04368/

https://www.startmag.it/innovazione/f-35-leonardo-finmeccanica-e-lockheed-ecco-come-la-lega-bacchetta-conte-e-trenta/

Фото: ВВС США / ВМС США / Lockheed Martin