F-35: Analyse der Cyberrisiken von Kämpfern der fünften Generation

(Di Alessandro Fiori)
12 / 09 / 19

Der folgende Artikel dient nur zu Informations-, Illustrations- und Studienzwecken. Die im Artikel durchgeführten "Tests" sind keine echten Tests für Infrastrukturen oder Netzwerke anderer, sondern einfache Untersuchungen und Analysen von öffentlichen Daten, die über dritte Plattformen gefunden wurden.

Jeder echte Test MUSS nach der SCHRIFTLICHEN ZUSTIMMUNG des Eigentümers des zu analysierenden Netzwerks oder der zu analysierenden Infrastruktur durchgeführt werden.

Jeder ohne ausdrückliche schriftliche Zustimmung durchgeführte Test ist ILLEGAL.

Der Jet F-35 Lightning II ist ein Jäger der fünften Generation, der von dem Amerikaner Lockheed Martin entwickelt wurde, der als Mehrzweck-Stealth-Flugzeug für die Überlegenheit in der Luft geboren wurde.

Drei verschiedene Modelle wurden entworfen:

- das Modell F-35A CTOL - konventionelles Starten und Landen oder ein Modell mit konventionellem Starten und Landen

- das Modell F-35B STOVL - kurzes Starten und vertikales Landen, ein kurzes Starten und vertikales Landemodell

- das Modell F-35C CATOBAR - Katapultunterstütztes Abheben, aber ein Modell mit katapultunterstütztem Abheben und kabelunterstütztem Abschalten.

Insbesondere dieses Modell ist aufgrund des Start- und Landesystems für Flugzeugträger konzipiert.

Da das Flugzeug in jeder Situation einsatzfähig sein muss und je nach Modell unterschiedliche Start- und Landesysteme aufweist, wird aus technologischer Sicht alles zu einem sehr komplexen System, das aus mehreren Teilsystemen mit Komponenten besteht Hardware und Software sind miteinander verbunden.

Der Jet ist so konzipiert, dass er dank seiner Bewaffnung und des Informationsaustauschs überlegen ist. Zu diesem Zweck wurde ein echtes Netzwerk mit zwei Unterstützungssystemen für Piloten und Bediener geschaffen, mit denen der Jäger dank zweier Systeme ständig verbunden ist für diesen Zweck entwickelte Softwaresysteme, das ALIS-System und das JRE-System.

Das ALIS-System (Autonomic Logistics Information System) unterstützt die Wartung von Flugzeugen und ermöglicht es den Betreibern, eine Komponente auszutauschen oder einfach den Status des Flugzeugs zentral zu steuern, wodurch die Verfügbarkeit des Flugzeugs selbst erhöht wird.

Darüber hinaus ist es mit ALIS möglich, eine gemeinsame Betriebsplanung zu erstellen und zu verwalten.

Eine eingehende Analyse dieses Systems ist direkt auf der Website des Herstellers des Jagdflugzeugs verfügbar (Link).

Das JRE-System (Joint Reprogramming Enterprise) ist eine gemeinsame Datenbank, die den Informationsaustausch zwischen Verbündeten einer Operation ermöglicht.

Wenn ein F-35 beispielsweise ein feindliches Radar erkennt, werden diese Informationen weitergegeben und alle Verbündeten werden über die Existenz dieses Radars informiert, was die Umsetzung einer möglichen Strategie erleichtert oder einfach verhindert, dass alle verbündeten Streitkräfte dies tun sollten Finden Sie die Informationen der Reihe nach.

Diese Art des Informationsaustauschs ist ein Schlüsselfaktor für den Erfolg einer Mission. Da das Flugzeugsystem jedoch zum Austausch mit einem Netzwerk verbunden ist, kann dies schwerwiegende IT-Sicherheitsprobleme verbergen, die das Ergebnis beeinträchtigen können für die dieser Kämpfer geschaffen wurde.

Um die Risiken dieser Systeme zu verstehen, analysieren wir sowohl die Systeme an Bord des Kampfflugzeugs als auch das Netzwerk, mit dem es verbunden ist, durch eine Analyse der öffentliche Daten, verfügbar auf Plattformen von Drittanbietern und online verfügbar.

Der F-35 verfügt über ein komplexes Verarbeitungssystem, und jedes Verarbeitungssystem verfügt über ein eigenes Betriebssystem.

Ein Betriebssystem (OS - Operating System) ist eine Software, die sowohl Hardware- als auch Softwarekomponenten eines Computers verwaltet.

Das vom F-35 ausgerüstete Betriebssystem ist vom Typ "Echtzeit", dh ein bestimmter Betriebssystemtyp, der auf die Ausarbeitungen in einer vorgegebenen festen Zeit genau reagieren muss Echtzeit.

Das fragliche Betriebssystem ist das von Green Hills entwickelte INTEGRITY RTOS (eine Abkürzung für "Real Time Operating System").

Derzeit ist dieses Betriebssystem sowohl im F-35 als auch im B-2-Stealth-Bomber, im F-16-Jäger und im F-22-Jäger vorhanden Raptor und im zivilen Flugzeug Airbus A380.

Da das Betriebssystem Systeme von entscheidender Bedeutung verwalten muss, ist es durch eines geschützt Sandkastenoder ein geschützter Bereich, der von den übrigen Hardware- und Softwarekomponenten isoliert ist.

Um das Konzept des Betriebssystems in einem besser erklären zu können SandkastenSie können sich einen Raum (System) vorstellen, in dessen Mitte sich ein Safe (Sandbox) befindet, der durch eine starke Kombination (Passwort) und möglicherweise durch einen Alarm (Firewall) geschützt ist.

Im Tresor (und damit im Sandkasten) befindet sich das "Herz" des Systems, das den größten Wert hat und die kritischsten Operationen ausführt.

Schützen Sie das Betriebssystem, indem Sie es in eines einschließen Sandkasten Daher kann das Gesamtsicherheitsniveau des gesamten Systems erhöht werden.

Geschichte Sandkasten besteht aus verschiedenen Komponenten wie Interpeak IPShell, Interpeak IPWEBS und Interpeak IPCOMShell.

Das erste ernsthafte Risiko hängt mit einigen Sicherheitslücken zusammen, die das umgehen können Sandkasten, um direkt mit dem Betriebssystem zu kommunizieren und Befehle ausführen zu können:

https://github.com/bl4ckic3/GHS-Bugs

Die Schwachstellen wurden erkannt und mit CVE (Common Vulnerabilities and Exposures) bzw. den eindeutigen Codes zur Erkennung von Schwachstellen gekennzeichnet:

CVE-2019-7711 - https://nvd.nist.gov/vuln/detail/CVE-2019-7711

CVE-2019-7712 - https://nvd.nist.gov/vuln/detail/CVE-2019-7712

CVE-2019-7713 - https://nvd.nist.gov/vuln/detail/CVE-2019-7713

CVE-2019-7714 - https://nvd.nist.gov/vuln/detail/CVE-2019-7714

CVE-2019-7715 - https://nvd.nist.gov/vuln/detail/CVE-2019-7715

Die gefundenen Schwachstellen beziehen sich auf die Version von Integrity RTOS 5.0.4

Das zweite Risiko ergibt sich aus der Vernetzung der Teilsysteme des Flugzeugs, da ein Angreifer, der in ein Hilfssystem, beispielsweise das GPS, eindringen könnte, auch Zugang zum zentralen System erhalten und das gesamte Flugzeug gefährden könnte.

In Kombination mit den oben beschriebenen Sicherheitslücken könnte diese Möglichkeit eine ernsthafte Bedrohung für die Sicherheit der Piloten und Missionen darstellen, die sie ausführen.

Wie bereits erwähnt, ist die wahre Natur des F-35-Jägers nicht die eines "eigenständigen" Flugzeugs, sondern die wahre Evolution ist das Unterstützungs- und Datenaustauschnetzwerk mit anderen Flugzeugen.

Diese große Stärke kann leicht zu einer Sicherheitsanfälligkeit werden, da diese potenziell angreifbar ist, wenn sie mit einem externen Netzwerk verbunden ist.

Das Netzwerk zur Unterstützung der Jagd besteht aus mehreren nationalen "Hubs" oder Verbindungsknoten, die sich jedoch auf zwei zentrale Knoten beziehen, die von Lockheed Martin in Fort Worth, Texas, und Orlando, Florida, verwaltet werden.

In diesen beiden Knoten werden alle in den Peripherieknoten vorhandenen Informationen übermittelt.

Einige Experten haben viele Zweifel und Kontroversen über die Menge der an Lockheed Martin übermittelten Informationen geäußert und behaupten, dass sie mehr als notwendig sind.

Diese Art von Netzwerk kann ein ernstes Risiko darstellen, da diese Rechenzentren (dh eine Reihe von Servern, die Informationen verarbeiten, die von externen Knoten empfangen werden) über extrem hohe Sicherheitsmaßnahmen verfügen. Wenn Kompromisse eingegangen würden, würde das gesamte Netzwerk der verbundenen Kämpfer gefährdet, was im schlimmsten Fall die Kampfunfähigkeit der gesamten F-35-Flotte zur Folge hätte.

Diese Hypothese, so unglaublich sie auch sein mag, kann nicht als abgelegen angesehen werden, da es möglicherweise Bediener im Rechenzentrum gibt, die die unterschiedlichsten Vorgänge versehentlich (oder im schlimmsten Fall absichtlich schädlich) ausführen können, indem sie ihre Position ausnutzen.

Diese Art von Bedrohung wird als "interne Bedrohung" (oder "interne Bedrohung") bezeichnet.

Diese Möglichkeit einer internen Bedrohung veranlasst die Experten daher zu der Frage, ob die Daten und das gesamte Netzwerk im Zusammenhang mit den Missionen von Lockheed Martin auf die am besten geeignete Weise verwaltet werden.

In dieser Hinsicht können wir versuchen, Anhaltspunkte für eine Beeinträchtigung oder "Hinweise" zu finden, die auf einen möglichen Kompromiss im Netzwerk von Lockheed Martin zurückzuführen sind.

Offensichtlich ist diese Analyse nur als Beispiel zu verstehen, und die erhaltenen Daten könnten sich als falsch positiv erweisen, da sie von erzeugt worden sein könnten Honeypot (Betriebssysteme, die speziell installiert wurden, um einen Gegner von realen Systemen abzulenken) oder von anderen Alarmsystemen, die bereits eine mögliche Bedrohung neutralisiert haben.

Darüber hinaus werden für die Analyse ausschließlich Daten aus öffentlichen Quellen und nicht direkt aus dem betreffenden Netzwerk verwendet, was die Wahrscheinlichkeit eines Fehlalarms erhöht.

Die Plattform, auf der wir die Analyse durchführen, ist ThreatCrowd, eine kostenlose Plattform, die auf Daten anderer Plattformen wie VirusTotal zurückgreift und ein Diagramm erstellt, das die in einem Netzwerk hergestellten Verbindungen darstellt.

Es gibt vier Arten von Ergebnissen, die von der Plattform zurückgegeben werden:

- IP - IP-Adressen, die mit der analysierten Domäne verbunden sind und nicht unbedingt bösartig sind

- E-Mail - Server oder E-Mail-Adressen, die mit der Domäne verbunden sind

- Subdomains - Subdomains, die direkt mit der zu analysierenden Domain verbunden sind

- Hash - Alphanumerische Zeichenfolgen, die Dateien darstellen, die von den verschiedenen mit ThreatCrowd verbundenen Plattformen erkannt wurden und nicht unbedingt bösartig sind.

Hier ist die ThreatCrowd-Plattform:

Quelle: https://www.threatcrowd.org/

In das Suchfeld geben wir die Domain "lockheedmartin.com" ein.

Quelle: https://www.threatcrowd.org/

Die Plattform gibt einen Graphen der Verbindungen zurück, die im internen Netzwerk und in den verschiedenen Unterdomänen stattfinden:

Durch Klicken auf die entsprechende Schaltfläche oben links können wir das Ergebnis in Tabellenform analysieren:

Quelle: https://www.threatcrowd.org/

Wenn wir das Ergebnis analysieren, sehen wir, dass es keine Hashes gibt, sondern nur Subdomains, IP-Adressen und eine E-Mail.

Das Vorhandensein von Hash auf der Plattform ist ein Hinweis darauf, dass die verschiedenen Plattformen, von denen ThreatCrowd Daten abruft, im Laufe der Zeit das Vorhandensein schädlicher Dateien signalisiert haben. In diesem Fall können die Hashes als "Virensignaturen" interpretiert werden.

Obwohl dies keine direkte Gefährdung darstellt, da diese Warnungen auch von zum Schutz der Domäne installierten Einbruchschutzsystemen generiert werden können, ist diese Anzeige sicherlich ein wichtiger Indikator, da sie auf einen möglichen Sicherheitsvorfall in der Vergangenheit hinweisen kann.

Daher scheint es zumindest an der Oberfläche keinen bestimmten Indikator für einen Kompromiss zu geben.

Um etwas tiefer zu gehen, müssen wir die von ThreatCrowd zurückgegebenen Ergebnisse einzeln analysieren.

Das erste für die Analyse nützliche Ergebnis ist die E-Mail-Adresse. lm-nic@lmco.com Davon gibt die Plattform fünf nützliche Hashes zurück:

e21b3469b4fc1efddf76d8c89f1ebb2a

709622547c3e4b44144047282940995b

11769c481554f793ec20fe2b0189a751

4ca7d150cc798011d5cb7d4c5be89f41

9844a1b8a10ed4568240ae7a528bef5d

Um zu überprüfen, ob diese Hashes auf schädliche Dateien verweisen, fügen Sie diese Werte in VirusTotal ein, um die Ergebnisse zu überprüfen.

VirusTotal ist eine spezielle Plattform, auf der der Benutzer jede Art von Datei hochladen kann, um sie automatisch von zahlreichen Antiviren-Engines analysieren zu lassen.

Die Ergebnisse der Virenscans werden dann auf der Plattform freigegeben, die die von diesen Dateien hergestellten Verbindungen in einer einzigen prüft Sandkasten, um die Analyse zu vervollständigen.

Da die Plattform Dateien und Websites analysieren kann, scheint sie ein wertvolles Werkzeug für die Suche nach Kompromissindikatoren in externen Netzwerken zu sein, ohne eine invasive Analyse durchzuführen.

Dies ist das Ergebnis von VirusTotal des ersten Hashs:

Quelle: https://www.virustotal.com

Wie Sie sehen, stellt sich diese Datei als bösartig heraus. Um jedoch zu überprüfen, ob es sich um einen echten Anhaltspunkt für eine Gefährdung handelt, müssen wir analysieren, ob für die entdeckte E-Mail kürzlich Berichte über eine mutmaßliche Infektion vorliegen.

Wir können die E-Mail-Adresse nicht direkt durchsuchen, aber wir können die Virusmotal-Domain nach "lmco.com" durchsuchen.

Quelle: https://www.virustotal.com

Wie Sie sehen, stellt die Plattform fest, dass mehr als 10-verdächtige Dateien mit der zu analysierenden Domain kommunizieren.

Um verdächtige Dateien anzuzeigen, klicken Sie auf "Relationen".

Quelle: https://www.virustotal.com

Wie wir sehen können, gibt es viele schädliche Dateien, die mit der Domain "lmco.com" kommunizieren, die mit der Domain "lockheedmartin.com" verbunden ist, deren Datum (19 / 08 / 2019) sehr nahe am Erstellungsdatum des Artikels liegt ( 20 / 08 / 2019).

Dies kann einen andauernden Angriff darstellen, da sich dieser aber auch ableiten lässt HoneypotIntrusion Prevention Systems (dh Systeme, die erstellt wurden, um Bedrohungen abzuwehren, bevor sie die betroffenen Server erreichen), Antivirus- oder andere Analysesysteme. Wir sind uns wiederum nicht sicher, ob es sich wirklich um einen Angriff handelt (dies kann jedoch immer noch als Indikator für eine Gefährdung angesehen werden). .

Ein weiterer Indikator kann durch die Analyse der Domain "lockheedmartin.com" gesehen werden

Quelle: https://www.virustotal.com

In diesem Fall gibt es zwei erkannte Dateien, die mit der Domäne kommunizieren und deren Daten sehr nahe an der Analyse liegen.

Es gibt auch einige Dateien, in denen die analysierte Domäne vorhanden ist (Abschnitt "Verweisende Dateien").

Tatsächlich analysiert VirusTotal nicht nur die Verbindungen, die durch böswillige Dateien hergestellt werden, sondern analysiert auch den Inhalt der Dateien (Hauptteil) und sucht nach Domänen, IP-Adressen und Textzeichenfolgen, die für zukünftige Analysen nützlich sein können.

Um einen breiteren Überblick über die zu analysierenden Systeme zu erhalten, versuchen wir, in Shodan (einer Suchmaschine, die für die Suche nach mit dem Netz verbundenen Geräten erstellt wurde) die Zeichenfolge "lockheed martin" zu finden:

Quelle: https://www.shodan.io/

Wie im Screenshot gezeigt, gibt es öffentlich zugängliche Server, auf denen RDP (Remote Desktop Protocol - Remote Desktop) aktiviert ist.

Dies kann offensichtlich nicht als Indikator für einen Kompromiss angesehen werden, stellt jedoch aufgrund der zahlreichen Sicherheitslücken, die dieses Protokoll betreffen, ein Risiko dar.

Damit möchten wir noch einmal betonen, dass dies nicht bedeutet, dass die erkannten Server anfällig sind, sondern bei der Analyse als mögliches Risiko zu berücksichtigen ist.

Diese Art der Analyse ist nützlich, da das interne Netzwerk im schlimmsten Fall nicht bekannt ist und ein internes System mit den zentralen Austauschknoten verbunden werden könnte, mit denen die ALIS- und JRE-Systeme kommunizieren.

Obwohl die Analyse extern ist und alle Einschränkungen des Einzelfalls berücksichtigt wurden, wurde das Unternehmen bereits vor der Veröffentlichung dieses Artikels wegen dieser Indikatoren kontaktiert, da es ein kritisches System verwaltet.

Ich beschränke mich auf die F-35-Cyber-Risikoanalyse und erinnere mich, dass das Flugzeug B-61-Bomben oder Wasserstoff-Atomsprengköpfe ausrüsten kann (die Systeme Lockheed Martin und F-35 selbst gelten daher als kritische Systeme). .

Offensichtlich ist die F-35 nicht nur von Cyberproblemen betroffen, im Juni erreichte 2019 nur die 8,7% der Testflotte die volle Kampfkapazität, verglichen mit dem budgetierten Wert von 80%.

Das Programm selbst ist sehr teuer, es wird geschätzt, dass bisher nur Italien 4 Milliarden für die Finanzierung des Projekts ausgegeben hat, und derzeit gibt es in Italien eine komplette Produktionslinie, die von Leonardo verwaltet wird, in Cameri (v.articolo)

Das größte Risiko ist in dieser Hinsicht rein industriell und besteht darin, dass das Cameri-Werk möglicherweise ohne Flugzeuge auskommt, die von der 2023 gebaut werden.

Für Italien könnte dies ein Thema sein, das schnell angegangen werden muss, da dieses Risiko leicht zu einer großen Chance für das Land werden kann.

Zusätzlich zu den hier analysierten Cyberrisiken und den Ineffizienzen, die durch die Tests gemeldet wurden, ist hinzuzufügen, dass neue Kämpfer der sechsten Generation getestet und geplant werden, aber da sich die Entwicklung dieser Kämpfer in einem frühen Stadium befindet, ist dies nicht der Fall ein direktes Risiko für den F-35.

Um mehr zu erfahren:

https://it.wikipedia.org/wiki/Lockheed_Martin_F-35_Lightning_II

https://www.lockheedmartin.com/en-us/products/autonomic-logistics-information-system-alis.html

https://www.theregister.co.uk/2019/03/28/f35_software_fail/

https://www.documentcloud.org/documents/5000528-GAO-Cybersecurity-Report-2018.html

https://www.documentcloud.org/documents/5736009-FY2018-DOT-E-F35-Report.html#document/p8/a483617

https://www.theregister.co.uk/2018/01/30/f35_dote_report_software_snafus/

https://www.ghs.com/products/safety_critical/integrity-do-178b.html

https://www.pogo.org/investigation/2019/03/f-35-far-from-ready-to-face-current-or-future-threats/

https://www.repubblica.it/esteri/2018/08/27/news/f-35_il_cavallo_di_troia_del_software_che_dice_tutto_agli_americani-205027485/

https://fightersweep.com/10783/hacking-the-f-35-turning-the-fighters-biggest-strength-into-its-biggest-weakness/

https://www.lantidiplomatico.it/dettnews-ancora_problemi_per_il_caccia_f35_gli_stati_uniti_dovrebbero_interrompere_il_costoso_programma/27922_30154/

https://www.dote.osd.mil/pub/reports/FY2018/pdf/dod/2018f35jsf.pdf

https://www.airforce-technology.com/features/future-fighter-aircraft-sixth-generation/

https://www.lantidiplomatico.it/dettnews-f35_gi_obsoleti_inizia_la_guerra_dei_caccia_di_sesta_generazione_tempest_faxx_ngf_sukhoi_okhotnik_mikoyan_mig41_e_mitsubishi_f3/27922_29983/

https://www.defenseindustrydaily.com/you-can-track-your-f-35s-at-alis-maintenance-hub-04368/

https://www.startmag.it/innovazione/f-35-leonardo-finmeccanica-e-lockheed-ecco-come-la-lega-bacchetta-conte-e-trenta/

Foto: US Air Force / US Navy / Lockheed Martin