Der Hackerangriff auf Starlink-Terminals hat begonnen

Oct 06, 2023

Matt Burgess

Seit 2018 hat Elon Musks Starlink mehr als 3.000 Kleinsatelliten in die Umlaufbahn gebracht. Dieses Satellitennetzwerk überträgt Internetverbindungen an schwer erreichbare Orte auf der Erde und war während des russischen Krieges in der Ukraine eine wichtige Konnektivitätsquelle. Der Start tausender weiterer Satelliten ist geplant, da die Branche boomt. Jetzt werden diese Satellitenkomponenten wie jede neue Technologie gehackt.

Heute wird Lennert Wouters, ein Sicherheitsforscher an der belgischen Universität KU Leuven, eine der ersten Sicherheitslücken der Benutzerterminals von Starlink aufdecken, die Satellitenschüsseln (genannt Dishy McFlatface), die an den Häusern und Gebäuden der Menschen angebracht sind. Auf der Black Hat-Sicherheitskonferenz in Las Vegas wird Wouters detailliert beschreiben, wie eine Reihe von Hardware-Schwachstellen es Angreifern ermöglichen, auf das Starlink-System zuzugreifen und benutzerdefinierten Code auf den Geräten auszuführen.

Um auf die Software der Satellitenschüssel zuzugreifen, zerlegte Wouters eine von ihm gekaufte Schüssel und erstellte ein benutzerdefiniertes Hacking-Tool, das an die Starlink-Schüssel angeschlossen werden kann. Das Hacking-Tool, eine kundenspezifische Leiterplatte, die als Modchip bekannt ist, verwendet handelsübliche Teile, die etwa 25 US-Dollar kosten. Sobald die selbstgebaute Leiterplatte (PCB) an der Starlink-Schüssel befestigt ist, kann sie einen Fault-Injection-Angriff starten, der das System vorübergehend kurzschließt, um die Sicherheitsmaßnahmen von Starlink zu umgehen. Dieser „Fehler“ ermöglicht es Wouters, in zuvor gesperrte Teile des Starlink-Systems einzudringen.

Wouters stellt sein Hacking-Tool jetzt als Open Source auf GitHub zur Verfügung, einschließlich einiger Details, die zum Starten des Angriffs erforderlich sind. „Nehmen wir an, Sie wollten als Angreifer den Satelliten selbst angreifen“, erklärt Wouters. „Sie könnten versuchen, ein eigenes System zu bauen, das es Ihnen ermöglicht, mit dem Satelliten zu kommunizieren, aber das ist ziemlich schwierig. Wenn Sie also die Satelliten angreifen wollen.“ , möchten Sie über das Benutzerterminal gehen, da dies Ihr Leben wahrscheinlich einfacher macht.

Der Forscher informierte Starlink letztes Jahr über die Schwachstellen und das Unternehmen bezahlte Wouters im Rahmen seines Bug-Bounty-Programms für die Identifizierung der Schwachstellen. Wouters sagt, dass SpaceX zwar ein Update veröffentlicht hat, um den Angriff zu erschweren (er hat als Reaktion darauf den Modchip geändert), das zugrunde liegende Problem jedoch nicht behoben werden kann, es sei denn, das Unternehmen erstellt eine neue Version des Hauptchips. Alle vorhandenen Benutzerterminals seien anfällig, sagt Wouters.

Starlink sagt, es plane, nach Wouters' Präsentation bei Black Hat heute Nachmittag ein „öffentliches Update“ zu veröffentlichen, weigerte sich jedoch, WIRED vor der Veröffentlichung Einzelheiten zu diesem Update mitzuteilen.

Jeremy White

Khari Johnson

Kate Knibbs

Emily Mullin

Das Internetsystem von Starlink besteht aus drei Hauptteilen. Erstens gibt es die Satelliten, die sich in einer niedrigen Erdumlaufbahn bewegen, etwa 340 Meilen über der Oberfläche, und Verbindungen zur Oberfläche herabstrahlen. Die Satelliten kommunizieren mit zwei Systemen auf der Erde: Gateways, die Internetverbindungen zu den Satelliten senden, und den Dishy McFlatface-Gerichten, die Menschen kaufen können. Wouters‘ Forschung konzentriert sich auf diese Benutzerterminals, die ursprünglich rund waren, neuere Modelle jedoch rechteckig sind.

Seit das Unternehmen mit dem Verkauf begonnen hat, kam es mehrfach zu Abrissen der Benutzerterminals von Starlink. Ingenieure auf YouTube haben ihre Terminals geöffnet und ihre Komponenten und ihre Funktionsweise vorgestellt. Andere diskutieren die technischen Spezifikationen auf Reddit. Wouters, der zuvor Hardware entwickelt hat, mit der ein Tesla in 90 Sekunden entsperrt werden kann, untersuchte jedoch die Sicherheit des Terminals und seiner Chips. „Das Benutzerterminal wurde definitiv von fähigen Leuten entworfen“, sagt Wouters.

Seine Angriffe gegen das Benutzerterminal umfassten mehrere Phasen und technische Maßnahmen, bevor er schließlich die nun Open-Source-Platine entwickelte, mit der die Schüssel fehlerhaft gemacht werden kann. Im Großen und Ganzen funktioniert der Angriff mit der benutzerdefinierten Leiterplatte dadurch, dass Sicherheitsüberprüfungen zur Signaturüberprüfung umgangen werden, mit denen nachgewiesen werden soll, dass das System korrekt startet und nicht manipuliert wurde. „Wir nutzen dies, um genau zu bestimmen, wann der Glitch eingefügt werden muss“, sagt Wouters.

Ab Mai 2021 begann Wouters mit dem Testen des Starlink-Systems und erreichte auf dem Dach seines Universitätsgebäudes Download-Geschwindigkeiten von 268 Mbit/s und Upload-Geschwindigkeiten von 49 Mbit/s. Dann war es an der Zeit, das Gerät zu öffnen. Mit einer Kombination aus „Heißluftpistole, Hebelwerkzeug, Isopropylalkohol und viel Geduld“ gelang es ihm, die große Metallabdeckung von der Schüssel zu entfernen und auf die inneren Komponenten zuzugreifen.

Unter der Haube mit einem Durchmesser von 59 cm befindet sich eine große Leiterplatte, die ein System-on-Chip beherbergt, einschließlich eines maßgeschneiderten Quad-Core-ARM-Cortex-A53-Prozessors, dessen Architektur nicht öffentlich dokumentiert ist, was es schwieriger macht, ihn zu hacken. Auf der Platine befinden sich unter anderem Hochfrequenzgeräte, Power-over-Ethernet-Systeme und ein GPS-Empfänger. Durch das Öffnen der Schüssel konnte Wouters nachvollziehen, wie sie hochfährt und ihre Firmware herunterlädt.

Jeremy White

Khari Johnson

Kate Knibbs

Emily Mullin

Um den Modchip zu entwerfen, scannte Wouters die Starlink-Schüssel und erstellte das Design so, dass es über die vorhandene Starlink-Platine passt. Der Modchip muss auf die vorhandene Starlink-Leiterplatte gelötet und mit ein paar Drähten verbunden werden. Der Modchip selbst besteht aus einem Raspberry Pi-Mikrocontroller, einem Flash-Speicher, elektronischen Schaltern und einem Spannungsregler. Bei der Erstellung der Platine des Benutzerterminals haben die Starlink-Ingenieure den Schriftzug „Von Menschen auf der Erde hergestellt“ darauf gedruckt. Auf dem Modchip von Wouters steht: „Von Menschen auf der Erde gestört.“

Um Zugriff auf die Software der Schüssel zu erhalten, nutzte Wouters sein maßgeschneidertes System, um Sicherheitsmaßnahmen durch den Spannungsfehlerinjektionsangriff zu umgehen. Wenn die Starlink-Schüssel eingeschaltet wird, verwendet sie eine Reihe verschiedener Bootloader-Stufen. Der Angriff von Wouters führt den Fehler gegen den ersten Bootloader, den sogenannten ROM-Bootloader, aus, der auf das System-on-Chip gebrannt ist und nicht aktualisiert werden kann. Der Angriff stellt dann gepatchte Firmware auf späteren Bootloadern bereit, wodurch er die Kontrolle über die Schüssel übernehmen kann.

„Aus allgemeiner Sicht gibt es zwei offensichtliche Dinge, die man angreifen könnte: die Signaturüberprüfung oder die Hash-Überprüfung“, sagt Wouters. Der Fehler wirkt sich negativ auf den Signaturüberprüfungsprozess aus. „Normalerweise möchte man Shorts vermeiden“, sagt er. „In diesem Fall machen wir es mit Absicht.“

Zunächst versuchte Wouters, den Chip am Ende seines Startzyklus zu reparieren – wenn das Linux-Betriebssystem vollständig geladen war –, fand es aber letztendlich einfacher, den Fehler zu Beginn des Startvorgangs zu verursachen. Dieser Weg sei zuverlässiger, sagt Wouters. Um den Fehler in Gang zu bringen, musste er die Entkopplungskondensatoren, die zur Glättung der Stromversorgung dienen, außer Betrieb setzen, sagt er. Im Wesentlichen deaktiviert der Angriff die Entkopplungskondensatoren, führt den Glitch aus, um die Sicherheitsmaßnahmen zu umgehen, und aktiviert dann die Entkopplungskondensatoren.

Dieser Prozess ermöglicht es dem Forscher, während des Boot-Zyklus eine gepatchte Version der Starlink-Firmware auszuführen und ermöglicht letztendlich den Zugriff auf die zugrunde liegenden Systeme. Als Reaktion auf die Recherche, sagt Wouters, bot ihm Starlink Zugang auf Forscherebene zur Software des Geräts an, obwohl er sagte, er habe abgelehnt, da er zu tief in die Arbeit gegangen sei und den Modchip bauen wollte. (Während der Tests hängte er die modifizierte Schüssel aus dem Fenster dieses Forschungslabors und nutzte eine Plastiktüte als provisorisches Abdichtungssystem.)

Laut Wouters hat Starlink auch ein Firmware-Update veröffentlicht, das die Ausführung des Angriffs erschwert, aber nicht unmöglich macht. Wer auf diese Weise in die Schüssel eindringen wollte, müsste dafür viel Zeit und Mühe aufwenden. Obwohl der Angriff nicht so verheerend ist wie die Zerstörung von Satellitensystemen oder Konnektivität, kann er laut Wouters genutzt werden, um mehr über die Funktionsweise des Starlink-Netzwerks zu erfahren.

„Ich arbeite gerade an der Kommunikation mit den Backend-Servern“, erklärt Wouters. Obwohl Wouters die Details des Modchips zum Download auf Github zur Verfügung stellt, hat er weder vor, fertige Modchips zu verkaufen, noch versorgt er die Leute mit gepatchter Benutzerterminal-Firmware oder den genauen Details des Glitches, den er verwendet hat.

Jeremy White

Khari Johnson

Kate Knibbs

Emily Mullin

Da immer mehr Satelliten gestartet werden – Amazon, OneWeb, Boeing, Telesat und SpaceX erstellen ihre eigenen Konstellationen – wird ihre Sicherheit stärker auf den Prüfstand gestellt. Die Systeme versorgen nicht nur Haushalte mit Internetverbindungen, sondern können auch dazu beitragen, Schiffe online zu bringen, und spielen eine Rolle in kritischen Infrastrukturen. Böswillige Hacker haben bereits gezeigt, dass Satelliten-Internetsysteme ein Ziel sind. Als russische Truppen in die Ukraine einmarschierten, griffen mutmaßliche russische Militärhacker das Via-Sat-Satellitensystem an und setzten Wiper-Malware ein, die die Router der Menschen lahmlegte und sie offline schaltete. Rund 30.000 Internetverbindungen in Europa waren unterbrochen, darunter mehr als 5.000 Windkraftanlagen.

„Ich denke, es ist wichtig zu beurteilen, wie sicher diese Systeme sind, da es sich um kritische Infrastrukturen handelt“, sagt Wouters. „Ich glaube nicht, dass es sehr weit hergeholt ist, dass bestimmte Leute versuchen würden, diese Art von Angriff durchzuführen, denn es ist ziemlich einfach, an ein Gericht wie dieses heranzukommen.“

Update 17:00 Uhr ET, 10. August 2022: Nach Wouters‘ Konferenzvortrag veröffentlichte Starlink ein sechsseitiges PDF, in dem erklärt wird, wie es seine Systeme sichert. „Wir finden den Angriff technisch beeindruckend und es ist der erste Angriff dieser Art, der uns in unserem System bekannt ist“, heißt es in dem Papier. „Wir gehen davon aus, dass Angreifer mit invasivem physischen Zugriff in der Lage sind, böswillige Aktionen im Namen eines einzelnen Starlink-Kits durchzuführen und dabei dessen Identität zu nutzen. Deshalb verlassen wir uns auf das Designprinzip der ‚geringsten Privilegien‘, um die Auswirkungen im breiteren System einzuschränken.“

Starlink bekräftigt, dass der Angriff physischen Zugriff auf ein Benutzerterminal erfordert und betont, dass sein sicheres Boot-System, das durch den Glitching-Prozess kompromittiert wurde, nur dieses eine Gerät betrifft. Größere Teile des gesamten Starlink-Systems sind nicht betroffen. „Normale Starlink-Benutzer müssen sich keine Sorgen machen, dass dieser Angriff sie betrifft, oder Maßnahmen ergreifen“, sagt Starlink.