Интерактивная карта инцидентов ГНСС-спуфинга. Была раньше здесь, теперь ее нет.

• 96% специалистов по cybersec игнорируют проблему спуфинга;
• в 2012 году стоимость атаки была $100 000, в 2022 — всего $500;
• в 2018 году в продажу поступил GPS Spoofer за $5;
• по роликам на youtube (или гайдам с github) любой человек может запустить свой спуфинг за 15 минут;
• с железом на $1000 можно положить навигацию по всей Москве;
• с 2016 по 2018 обнаружено 9883 инцидента с 1311 судами в Геленджике;
• 85% краж автомобилей происходит с джаммерами;
• 680 форков на GitHub для подделки сигналов GPS;
• каждый год продается 450 000 серверов времени, в мире их уже более 3 млн., от каждого тайм-сервера зависит кусочек критической инфраструктуры.

Термины

GPS, система глобального позиционирования — спутниковая система навигации, обеспечивающая измерение расстояния, времени и определяющая местоположение во всемирной системе координат WGS 84. Позволяет почти при любой погоде определять местоположение в любом месте Земли (исключая приполярные области) и околоземного космического пространства.

GNSS, ГНСС — спутниковая система навигации — система, предназначенная для определения местоположения (географических координат) наземных, водных и воздушных объектов, а также низкоорбитальных космических аппаратов. Спутниковые системы навигации также позволяют получить скорость и направление движения приёмника сигнала. Три спутниковые системы обеспечивают полное покрытие и бесперебойную работу для всего земного шара — GPS, ГЛОНАСС, «Бэйдоу», остальные — DORIS, Galileo

SDR, Программно-определяемая радиосистема — радиопередатчик и/или радиоприёмник, использующий технологию, позволяющую с помощью программного обеспечения устанавливать или изменять рабочие радиочастотные параметры, включая, в частности, диапазон частот, тип модуляции или выходную мощность, за исключением изменения рабочих параметров, используемых в ходе обычной предварительно определённой работы с предварительными установками радиоустройства, согласно той или иной спецификации, или системы.

HackRF One — это устройство, предназначенное для энтузиастов и радиолюбителей, увлеченных изучением радиосигналов, и всего, что с этим связано.

Jammer (джаммер, глушилка) — устройство для умышленного глушения, блокирования или вмешательство в беспроводную связь.

Spoofing (спуфинг) — ситуация, в которой один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества.


Как профессионалы видят спуфинг в реальном времени



Так выглядит обстановка во время «политического кризиса». Более 30 часов GPS и GLONASS спуфинга за 2 дня

Типы атак

Атаки по сложности, стоимости и эффективности можно разделить на 4 уровня:

• Асинхронные.
• Синхронные.
• Синхронные с несколькими передатчиками.
• Синхронные с несколькими передатчиками на дронах.
• Повторители.

GPS спуфинг при помощи HackRF One

Такая конфигурация генерирует только сигналы GPS. Если ваш приемник поддерживает ГЛОНАСС и BeiDou, такой спуфинг невозможен. Galileo тоже уязвим, потому что Galileo и GPS используют один и тот же радиодиапазон. А фальшивый сигнал GPS заблокирует прием сигналов Galileo.

Но иногда мощность поддельного GPS-сигнала настолько высока, что он перегружает входной канал GNSS-приемника, и он уже не может воспринимать ГЛОНАСС и Beidou.



Стоимость атаки: зависит от железа: $320 за HackRF One, $200 за ADALM-Pluto, $480 за bladeRF, $315 за LimeSDR.

Время атаки: От 15 секунд до 5 минут, в зависимости от встроенных алгоритмов настройки автогенератора. Иногда автогенератор перенастраивался на ложный сигнал GPS всего через 15 секунд после начала атаки.

Результат: Если сигнал спуфинга достаточно сильный, GNSS-приемник сервера времени теряет исходные сигналы, прекращает предоставление навигационного решения и переходит в режим поиска. Сервер времени сообщает об ошибке и переходит в режим удержания. Примерно через 10-30 секунд приемник GNSS находит ложные сигналы и выдает ошибочные данные. Сервер времени настраивает встроенный опорный генератор в соответствии с ложными сигналами GNSS.

Дистанция атаки: примерно 50 метров, сильно зависит от условий распространения сигнала. Уровень выходной мощности HackRF One RMS для сигналов GNSS составляет около -10 dBm. Этого достаточно, чтобы подавить реальные сигналы в радиусе 5 км в прямой видимости.

В этом сценарии SDR генерирует асинхронный сигнал, который приемник GNSS воспринимает как шум/помехи, поскольку приемник GNSS привязан только к реальным сигналам. Большая мощность спуфера здесь нужна, чтобы полностью заблокировать прием исходных сигналов и перевести приемник в поисковый режим. На расстоянии 50 метров мощность сигнала спуфера на 40 дБ выше исходных сигналов. Это приводит к перегрузке первого предусилителя приемника GNSS, что приводит к потере подлинного сигнала. Поэтому большая мощность нужна только в первые секунды атаки.

Способы защиты: Защитить сервер времени довольно легко. Вы можете использовать любой современный приемник GNSS, который поддерживает Glonass, Galileo, Beidou. Приемник GNSS автоматически исключает ложные сигналы GPS из расчета навигационного решения из-за больших ошибок псевдодальности/доплеровского смещения по сравнению с другими системами.

GNSS спуфинг при помощи HackRF One и джаммера

Для гарантированного спуфинга приемников GNSS с несколькими созвездиями необходимо только добавить генератор помех GNSS. Который надежно глушит прием сигналов ГЛОНАСС и BeiDou. Необходимо отрегулировать мощность глушителя GNSS и спуфера GPS. Чтобы глушились настоящие сигналы GPS, а фальшивый сигнал принимался.

Стоимость атаки: $320 за HackRF One и $150 USD за джаммер.

Время атаки: такое же, что и в предыдущем случае.

Результат: такой же, что и в предыдущем случае.

Дальность атаки: 100 метров. Выше, чем в первом случае, поскольку для нарушения отслеживания исходных сигналов может использоваться глушитель GNSS. Эта атака более сложна в исполнении, так как необходимо настроить выходную мощность спуфера и джаммера так, чтобы исходные сигналы подавлялись, а поддельные GPS — нет.

Способы защиты: Защитить сервер времени непросто. Почти все доступные на рынке приемники GNSS не могут противостоять этой атаке. Какие алгоритмы защиты можно реализовать на уровне сервера времени?

1. Мониторинг ОСШ. Очень легко отслеживать среднее значение SNR и отключать приемник GNSS, если значение становится нереально высоким. Тем не менее по нашим наблюдениям, в большинстве реальных случаев спуфинга значение SNR снижается при некогерентных атаках. Кроме того, нет проблем с понижением SNR при генерации ложного сигнала.
2. Мониторинг координат. Вы можете отключить приемник GNSS при значительном смещении координат. Паршивый метод, так как злоумышленник может легко смоделировать координаты вашей антенны с приемлемой точностью, чтобы избежать значительного дрейфа.
   
   Первые два метода действительно плохи в случае с серверами времени, и к тому времени, когда вы заметите изменение координат или SNR, будет уже слишком поздно. Эталонный генератор сервера времени уже начал бы подстраиваться под фальшивый сигнал и в конечном итоге давал бы вам неверное время.
3. Мониторинг фазы PPS. Поскольку каждый сервер времени имеет идеальный гетеродин, можно каждую секунду сравнивать фазы PPS от приемника GNSS и гетеродина. В случае всплеска можно мгновенно отключить синхросигнал. (еще есть)
4. Защита на уровне системы. Лучший метод защиты может быть реализован, когда у вас есть несколько распределенных в пространстве серверов времени. Если один из серверов времени начинает выдавать неверную метку времени, вы можете легко отключить его. Производительность метода зависит от качества сети (точность синхронизации через PTP) и количества серверов времени. Но есть и недостатки. В первые секунды спуфинга, когда сервер времени только начинает генерировать неправильное время, может быть затронута критическая инфраструктура, использующая этот конкретный сервер времени. В случае с банком некоторые транзакции могут попасть в базу данных с неправильной отметкой времени.

GNSS спуфинг при помощи HackRF One, джаммера и усилителя радиосигнала

Чтобы увеличить дальность атаки нужны ВЧ-усилитель на 10 Вт с AliExpress и направленная антенна.



Стоимость атаки:

• $320 за HackRF One;
• $150 за джаммер;
• 2 * $300 за усилители;
• 2 * $200 за направленные антенны;
• Итого: $1470.

Время атаки: такое же, что и в предыдущем случае.

Результат: такой же, что и в предыдущем случае.

Дальность атаки: 30 км, если установить спуфер на крыше здания высотой 40 метров.

Скорее всего такой мощный сигнал будет немедленно отслежен службами, ответственными за мониторинг радиочастотного спектра. Но высокая мощность нужна только в течение первых секунд, что заставит приемники GNSS потерять след исходных сигналов и перейти в режим поиска. После этого мощность спуфера можно сделать незначительной. И локализация источника атаки уже не будет такой простой задачей.

Способы защиты: Защита на уровне системы не поможет, поскольку могут быть затронуты все серверы времени в системе синхронизации. Без специализированных систем защиты от спуфинга не обойтись.

GNSS спуфинг с синхронизацией. Преднамеренная последовательная атака

Приведенные выше сценарии соответствуют некогерентным атакам. На первом этапе атаки GNSS-приемник теряет связь с реальными спутниками и через некоторое время переключается на фальшивые. Такие атаки характеризуются резкими скачками мощности, фазы PPS и координат и относительно легко обнаруживаются. Но что произойдет, если мы синхронизируемся с реальными сигналами. И на первой фазе атаки мы будем генерировать сигнал, идеально совпадающий с реальным по времени, координатам, псевдодальности, Доплеру, потоку данных и SNR.



Для такой атаки нет возможности загрузить программное обеспечение с GitHub. Вы можете модифицировать один из форков GPS-SDR-SIM самостоятельно или купить имеющиеся в продаже решения ($50к+).

Стоимость атаки: 1500 долларов США при самостоятельной модификации исходного кода GPS-SDR-SIM или 50 000 долларов США за готовые коммерческие доступные решения.

Время атаки: мгновенно.

Дальность атаки: Ограничено только радиогоризонтом.

Результат: Приемник моментально переключается на ложный сигнал. Сервер времени не выдает никаких ошибок или предупреждений и не переходит в режим удержания.
После успешного захвата приемника возможен плавный и контролируемый сдвиг времени и/или координат.

Способы защиты: Предположим вероятную цель такой атаки. Например, можно плавно и незаметно сдвинуть время на 10 мкс в одном из дата-центров, где происходит высокочастотный трейдинг. Тогда злоумышленник может получить преимущество, поскольку их транзакции могут быть отмечены более ранними отметками времени.

Преднамеренные сдвиги во времени могут нарушить работу системы передачи электроэнергии, что приведет к авариям и отключениям электроэнергии.

Небольшая корректировка координат может ввести в заблуждение водителя грузовика банка, и он повернет на несколько кварталов раньше, чем нужно, и попадет в засаду.

Кстати, идеальный случай синхронной атаки может быть выполнен с использованием ретранслятора GNSS. Если на антенну вашего сервера времени попадает сигнал ретранслятора GNSS из ближайшего магазина, у вас постоянно будет небольшой сдвиг во времени.

Существует только один метод защиты сервера времени от такой атаки. Это комбинация систем обнаружения спуфинга с пространственным анализом сигнала (антенная решетка) + альтернативный источник PNT (positioning, navigation, timing).