Efter Teherans uppskjutning av tre satelliter i rymden kan Iran utgöra ett betydande hot mot västerländska rymdsystem, särskilt mitt i det steniga avtalet om vapenvila för kriget mellan Israel och Hamas efter den 7 oktober.
Med iranska kärnkrafts- och satellitkapaciteter på frammarsch bör Israel och västerländska enheter förbli vaksamma för störningsförsök mot israeliska och västerländska likvärdiga system, särskilt för kommunikations- och övervakningshinder inför israeliska attacker mot Iran.
Vid sidan av den uppenbara faran med attacker mot statliga satellitsystem kan attacker mot kommersiella satelliter också riskera dataförlust. Sådan förlust eller stöld kan visa sig vara farlig i händerna på både hacktivister och nationalstatsaktörer, inklusive att hindra västerländsk insyn i Irans kärntekniska aktiviteter. Dessutom, för både kommersiella och federala system, kan komprometterad försvarsrelaterad data såväl som skyddad hälsoinformation (PHI) för patienter på sjukhus med påverkade satelliter visa sig vara kritiska. När det gäller attacktyp, kan bakdörrsinstallation via social ingenjörskonst utgöra ett smygande alternativ till den närmare studerade supply chain-attacken.
Utöver de välkända DDoS-angrepp (Distributed Denial-of-Service) och supply chain-attackmetoder som används för att överväldiga och infiltrera satellitsystem, utgör bakdörrsattacker en mer svårfångad attack som ofta introduceras till flyg- och rymdsystem genom socialt utformad infektion av användare med privilegierade tillträde. För att utforska detta ämne på djupet, konsulterades MIT-utbildad biträdande professor vid Cornell Universitys Aerospace ADVERSARY Lab, Dr. Gregory Falco, LEED AP. Dr. Falco gav följande insikt (text minimalt reviderad för sammanhang):
Bussen är det som underlättar all kommunikation över rymdfarkosten. Vanligtvis rapporterar delsystem telemetridata över bussen till satellitens hjärnor för konsekvent koordination. När något är chattigt kan det antingen betyda att det är felaktigt programmerat eller att det skickar för mycket data tillbaka. Det kan vara att skicka tillbaka data till hjärnan för att översvämma hjärnan med felaktiga meddelanden eller för annan skadlig aktivitet.
Om hur en pratsam buss kan indikera ett attackförsök som en bakdörrsinstallation, förklarade Dr. Falco:
Dessa typer av sårbarheter används också ofta i supply chain-attacker på grund av de många äldre delarna av satellitfordonet i fråga. (Dessa delar) drivs eller hanteras (ibland) av en gammal leverantör som inte bryr sig om att uppdatera sin kodbas eller som har tredjepartsenheter som engagerar sig i drift och uppdateringar. En pratsam buss är ett vanligt tecken på en bakdörrsinstallation, men med tanke på avsaknaden av körtidsmonitorer på kanten av fordonet är det svårt att tyda orsaken till chattigheten (bruset).
Försvarare kan därför undersöka bortom en DDoS- eller supply chain-attack för att även bedöma fall av chattiness för sociala ingenjörsindikatorer både i själva innehållet och eventuell misstänkt kommunikation som tas emot av användare med privilegierad tillgång till systemen i fråga.
Det stora insiderhotet med att privilegierade användare faller offer för social ingenjörskonst är framträdande i alla branscher. I takt med att iranska sociala ingenjörsförsök mot Israel och USA har ökat mot bakgrunden av kriget mellan Israel och Hamas med hotaktörer som den iranska statssponsrade hotaktören för cyberspionage APT42 och UNC1549 som historiskt har introducerat bakdörrar på målsystem, flygorganisationer bör förbli vaksamma mot e-post och andra former av kommunikation med geopolitiska teman. Dessa meddelanden kan nämna israelisk gisslanfrigivning och kan vara skriven på engelska, hebreiska eller ett annat språk som talas i ett land som ses som stöd för Israel och kan fokusera på Israel-Hamas-kriget eller liknande politiska teman. Om en användare öppnar och klickar på en skadlig länk eller laddar ner en beväpnad körbar fil, kan en bakdörr installeras på användarens enhet eller system. Ett exempel på e-postmeddelanden kan innehålla termer som:
جنگ (jang, ”krig” på farsi) eller ומתן משא (masa u’matan, ”förhandlingar” på hebreiska) samt ”Ansök nu” eller הגש מועמדות למשרה זו עכשיו ochעבודה (”Ansök nu” respektive ”arbete” , på hebreiska) för att projicera en sken av diplomati respektive karriärmöjligheter.
Meddelanden kan analyseras för falska avsändarkällor genom att jämföra e-posthuvudets Från-fält med dess returväg. Om de inte stämmer överens bör analytiker använda verktyg med öppen källkod samt värd- och nätverksloggar för att bedöma för andra förekomster av de misstänkta domännamnen och e-postadresserna som observerats i returvägen, med tonvikt på farsiska ord eller andra potentiella kopplingar till Iran. Nätfiskeförsök kan också utföras parallellt med andra attacker mot flygsystem, såsom DDoS-attacker som hotaktörer ibland använder för att distrahera säkerhetsanalytiker.
Artificiell intelligens (AI) kan användas för att undersöka brusfångningar i både ljud- och textformat, med fokus på translitteration och översättning. Den här funktionen kan användas tillsammans med en persisk persisk tolk och översättare för att klargöra ljudbruset och eventuell motsvarande text som erhålls med AI-funktionen för tal-till-text-diktering.
Ur reaktionssynpunkt skulle AI:n kunna tränas för att identifiera möjliga bakdörrar installerade av iranska hotaktörer genom att analysera för farsiska termer eller kodsträngar under kodgranskning. Dessa granskningar skulle fungera som en rutinmässig metod för indatasanering utöver regelbundna säkerhetsuppdateringar. AI skulle paras ihop med dessa saneringsgranskningar genom att använda heuristisk analys för att bedöma innehåll som betecknats som misstänkt enligt ett lexikon som sammanställts från pågående fynd i både satellitenheter och arbetarkommunikation.
Den persiska specialisten kunde sedan ge råd om huruvida någon av flygsystemets serverloggar innehåller farsi-text som skulle likna bakdörrskod. Samma AI-system kan också bedöma innehållet och ursprunget för e-postmeddelanden och andra meddelanden som tas emot av flygarbetare.
När man letar efter möjliga infiltrationstaktiker bör flygförsvarare vara på utkik efter ett brett utbud av tekniker, som kan förekomma samtidigt och mot flera geopolitiska mål. I fallet med Iran under Israel-Hamas-kriget utgör hot mot både statliga och privata flygsystem det unika hotet att dölja inte bara övervakningen av iransk kärnkraftskapacitet utan också av målens tillgänglighet till och bevarande av deras egna data. AI skulle kunna utnyttjas för att heuristiskt analysera innehåll för att förhindra cyberattack i både en bakdörrsinstallationskapacitet och en allmän social ingenjörskonst.