乌克兰卫星电视系统攻击事件安全分析

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）

1

概述

据外媒报道，2024年5月9日，黑客对乌克兰的电视频道进行了入侵，使得部分乌克兰居民意外观看到了莫斯科红场的胜利日阅兵直播。这次攻击影响了StarLightMedia和Inter两家电视台的卫星广播，攻击分别在当日上午10点至10点18分、11点27分至11点29分以及中午12点51分至12点55分三个时间段内发生。为了应对这一情况，相关频道不得不暂时切断卫星信号。

黑客通过播放莫斯科的胜利日阅兵直播，意在传播特定的政治信息和宣传，这种信息战的战术旨在塑造或扭曲乌克兰民众对俄乌冲突的认知。这种策略可能对乌克兰内部的政治稳定和民意造成影响，增加社会分裂。

近年来网络空间地缘政治化的趋势日益显著，针对卫星或电视系统的关键基础设施的安全事件越来越多：

• 2022年2月24日俄乌冲突爆发时，覆盖乌克兰地区的美国卫星运营商Viasat遭遇网络攻击，导致数千乌克兰用户、数万名欧洲其他地区用户断网。

• 2023年，以色列13频道电视台遭到黑客网络攻击，画面被插播巴勒斯坦国旗。

• 2023年，莫斯科国家广播电台和电视频道服务器在遭到黑客入侵后，发出了虚假的空袭警报。

为此，启明星辰ADLab针对这次数字卫星电视系统的攻击事件进行了技术性分析。

2

****卫星电视系统架构

图1 卫星电视系统示意

卫星电视系统通信过程，涉及内容的编码、传输和接收。这个过程主要可以分为以下几个步骤：

（1）内容编辑与编码：拍摄后的原始视频和音频内容需要通过编辑整理成最终的播出格式。之后，这些内容会被转换（编码）成适合于卫星传输的格式。这一步通常包括压缩和编码，这样能够减少数据的大小，确保它可以有效地通过卫星链路传输。

（2）上行信号传输：编码后的信号被传输到上行地面站。这里，信号会被进一步处理，并转换为微波信号，然后通过强大的发射天线发射到空中的卫星。

（3）卫星中继：微波信号到达地球同步轨道上的卫星后，卫星会接收这些信号，并对其进行再放大和处理。然后，卫星会使用不同的频率（下行信号通常使用与上行不同的频率，以防止信号干扰）将信号重新发送回地球。

（4）下行信号接收：地球上的各种接收站（如有线电视网络的地面接收站或个人的卫星接收盘）捕捉来自卫星的信号。这些信号经过低噪声放大器(LNA)放大后，被转换为电视机或其他设备可以识别和处理的格式。

（5）内容分发与播出：接收到的信号被送往电视网络或直接传送到用户的电视接收器。在电视网络中，信号可能会经过进一步的处理和分发，以适应不同地区或用户群的需求。

（6）电视接收：最终，观众通过他们的电视或接收设备观看这些节目。这些设备将卫星信号解码，转换成音频和视频输出，供用户观看和听取。

3

数字电视卫星的安全攻击面

卫星电视系统包括地面发射控制系统、星载转发系统和地面接收系统三大部分。与卫星相关的攻击面主要包括以下四部分。

3.1 卫星信号干扰

信号干扰是常用的卫星攻击技术。攻击者淹没或压制信号、发射机或接收机，干扰合法传输。

干扰已成为卫星服务受损或拒绝服务的主要原因。黑客使用定向天线，输出专门的干扰信号，其功率足以覆盖原始传输的信号。卫星信号干扰的两种形式主要是轨道干扰和地面干扰。

3.1.1 轨道干扰

在轨道干扰中，攻击者通过恶意上行链路站直接向卫星发送覆盖频率波段的信号。这样卫星会收到混合的干扰信号与合法信号，因而无法正常工作。干扰信号能够覆盖合法传输并阻断其向接收方的传输。

针对上行链路的洪泛攻击被认为是最具破坏性的攻击，因为它能够大面积地影响所有可能的接收方的通信。

上行链路干扰对卫星的物理影响相对较小，因为它可以干扰卫星在大范围内的传输，但只是暂时的，并且不会永久损害目标系统。

针对控制命令的上行链路干扰可以阻止卫星接收来自地面的命令。它还可以针对用户传输的数据，从而干扰接收方的正常数据的接收。

3.1.2 地面干扰

地面干扰不是像轨道干扰那样以卫星本身为目标，而是向当地消费者级卫星天线的方向发射恶意的卫星信号。干扰频率限于特定区域，并且仅能够干扰特定位置的卫星发出的频率。小型便携式地面干扰机易于购买和使用；它们在城市地区的射程通常为3-5公里，而在农村地区，它们的射程可以增加到20公里。

下行链路干扰是一种可逆攻击，它只影响干扰机视线范围内的用户。针对对地面设备的干扰攻击可能会影响卫星架构的有限部分，从而造成轻微损害。

干扰攻击的一个显著特点是它们可以使用现成的技术进行，并且很难检测到攻击方，特别是间歇性干扰。

2006年，Robert Kehler中将在美国众议院军事委员会战略部队小组委员会作证时强调，美国军方租赁的商业系统已经受到干扰。在“伊拉克自由行动”期间，对16个月期间商业卫星通信链路的分析发现，有50起记录在案的商业卫星通信干扰军事通信的事件；其中五次攻击肯定是由敌对干扰源实施的。

3.2 卫星流量窃听

与干扰不同，窃听传输允许攻击者访问传输的数据。尽管几乎每一个卫星通信都是加密的，但是我们可以从很多公开的信息渠道获得如何使用现成的产品来拦截卫星传输，无论这些传输是携带卫星广播媒体、卫星电话对话还是互联网流量。

2012年初，德国安全研究人员证明，使用市场上现成的设备，只要一台个人电脑和一根天线，就可以很容易地拦截和破译卫星电话。卫星电话运营商采用了两种加密标准算法 GMR-1和GMR-2来保护运营商的卫星电话信号的安全。在非洲、中东和北亚的Thuraya卫星电话都采用了这两种加密算法。

GMR-1是由GSM标准实现的A5/2算法的变体。它很容易受到纯密文攻击。GMR-2标准引入了一种新的加密算法，但是它的加密强度不够，只有64bits。2017年，两名中国安全研究专家发现GMR-2算法存在严重缺陷，采用新型实时反转攻击方法，几乎可以实时破解GMR-2的加密密钥。研究人员称：“在一个3.3GHzCPU的计算机平台上，我们可以在0.02秒内破解出GMR-2密码。我们的研究成果再次证明，在GMR-2密码标准中存在严重的安全缺陷，因此卫星通讯服务提供商应该尽快升级各自所采用的加密系统，以提升通讯的保密性。”

增强卫星传输数据的加密会带来一系列的问题。首先是运营成本的增加；另一个需要考虑的因素是对整体性能的影响。安全专家称加密卫星信号会导致性能下降80%。

3.3 卫星信号重放攻击

卫星信号重放攻击主要是针对地面站的上行链路信号重放，地面发射站的上行链路信号包括卫星控制命令及用户传输数据。卫星的控制命令是卫星控制指针对卫星的控制技术，包括卫星姿态控制、温度控制、动力控制等。攻击者提前录制并重放卫星遥控命令可以伪造合法用户控制卫星，严重的可以调整卫星的空中姿态，注入恶意代码等。

3.4 高能脉冲攻击

反卫星激光武器可以通过地基或天基向目标卫星发射高功率脉冲，高脉冲能量通过卫星接收天线对卫星内部电子器件造成不可逆的伤害，可能导致整个卫星测控模块完全失效，造成卫星的拒绝服务。

4

事件分析

---

4.1 卫星介绍

乌克兰电视频道StarLightMedia和Inter TV是乌克兰的两大电视台，其中StarLightMedia采用了以色列Spacecom公司的Amos-3及Amos-7卫星进行数字电视卫星广播。Inter TV采用了以色列Spacecom公司的Amos-3卫星进行数字电视卫星广播。

参数

数值

位置

 4° W (4° 西经)

卫星运营商

以色列Spacecom卫星通信公司

开始运营时间

2008年1月28日

制造商

以色列航空工业公司

预期寿命

17年

波段及覆盖地区

12 Ku波段及2 Ka波段，区域覆盖中东，欧洲，非洲及北美部分地

区。

表1 Amos-3卫星基本参数表

图2 Amos-3卫星Ku波段垂直方向在欧洲覆盖情况

参数

数值

位置

 4° W (4° 西经)

卫星运营商

以色列Spacecom卫星通信公司

开始运营时间

2014年8月5日

制造商

Maxar Technologies (SSL/MDA)

预期寿命

15年

波段及覆盖地区

24个Ku波段转发器和一个Ka波段波束，提供覆盖欧洲、中东和非洲部分地区的多区域体验，从而为中欧和东欧、非洲和中东的现有和新客户提供服务。

表2 Amos-7卫星基本参数表

图3 Amos-7卫星Ku波段垂直方向在欧洲覆盖情况

Inter TV共有两个频道分别是Inter频道及Inter+频道，StarLightMedia旗下共有STB、Novy Channel、ICTV、M1、M2、QTV五个电视频道，这五个电视频道都采用了Amos3卫星提供数字电视转播服务， 其中高清频道采用Amos7卫星提供数字电视转播服务。

频道

卫星

波段

频率(MHZ)

调制方式

Inter

Amos3

Ku

11389

DVB-S

Inter+

Amos3

Ku

11389

DVB-S

M1

Amos3

Ku

10722

DVB-S

M2

Amos3

Ku

10926

DVB-S

ICTV

Amos3

Ku

11175

DVB-S

M1 HD

Amos3

Ku

11222

DVB-S2

M2 HD

Amos3

Ku

11222

DVB-S2

STB HD

Amos7

Ku

12297

DVB-S2

ICTV HD

Amos7

Ku

12297

DVB-S2

NOVY CHANNEL HD

Amos7

Ku

12297

DVB-S2

M1 HD

Amos7

Ku

12297

DVB-S2

M2 HD

Amos7

Ku

12297

DVB-S2

表3 被攻击的卫星电视频道基本参数表

4.2 攻击方式分析

乌克兰电视频道StarLightMedia和Inter的卫星广播发生了3次干扰——分别是10:00至10:18、11:27至11:29和12:51至12:55。本次攻击事件中实现了卫星电视节目的恶意插播，除了卫星电视节目外，这些电视台的OTT、IPTV等信道的节目是可以正常接收的。

图4 卫星电视攻击事件现场效果

从卫星电视插播的攻击效果来看，攻击者可能采用的攻击方式有轨道干扰，地面干扰及网络渗透攻击三种方式。

攻击方式

影响面

成像质量

可复用性

轨道干扰

影响范围大，可覆盖国土面积，只能影响卫星电视信道。

一般

高

地面干扰

影响范围小。

一般

高

网络渗透

影响范围大，可覆盖国土面积。并可以影响到卫星，OTT、IPTV、微波等信道。

高

一般

表4 被攻击的卫星电视频道基本参数表

如果是采用地面干扰，影响的范围有限，只能覆盖有限的乌克兰地区。另外容易暴露攻击者位置。

如果是网络渗透攻击的方式，这意味着需要攻击者渗透到两个电视台的电视播控系统或传输网络，因为这些电视台的OTT，IPTV等信道的节目是可以正常接收的。当然攻击者也有可能渗透了同时两个电视台的卫星电视信号发射系统，但这样的攻击难度较大，而且从现场电视图像质量来看，成像质量一般，也不符合网络攻击的特点。

因为这种攻击手法采用攻击时间较短，但覆盖面及影响面比较大，可以影响到乌克兰大面积的国土面积。采用卫星信号干扰攻击的方式，由于攻击源头由攻击者控制，车载的攻击源可以移动，攻击可以在境外不同位置完成，很难从源头定位并切断攻击来源。

从攻击的情况来看，考虑到两个电视台都用到了Amos3卫星, 而且频率范围接近，本次攻击发生针对Amos3卫星的可能性比较大。

据报道，2024年4月17日乌克兰1+1 Media旗下的卫星电视频道也遭受了严重的攻击，攻击者干扰 Astra 4A和Hotbird 13E 星上属于乌克兰电视频道的卫星信号。这家媒体巨头透露，包括其该媒体旗下的39个频道无法访问，这对该国媒体基础设施造成了重大打击。官方建议采用其他方式获取电视信号，包括 T2、有线、OTT 和基于互联网的平台，以减轻未来攻击对卫星广播的影响。

综合上述分析，我们认为攻击者采用轨道干扰的攻击方法进行插播的可能性最大。

图5 卫星电视信号发射系统插播示意

下面我们来分析一下数字卫星电视插播的原理。

4.2.1 卫星电视插播的技术原理

卫星转发器的主要部件是大功率放大器。Ku波段的功率输出转发器通常采用行波管放大器或固定功放，当输入功率小于饱和点时，放大器工作在线性区。

如果输入功率超过额定值时，功率放大器就进入饱和区或过饱和区。大功率放大器会出现非线性效应。当功率放大器工作在过饱和区，其输出功率大大降低，而且会出现功率大的信号挤压功率小的信号的情况，并伴随出现大量噪声和误码率。

黑客通过采用与地面站发射站相同上行频率，极化参数等伪造合法地面发射台接入卫星网络，并加大功率压制合法信号，使得卫星的转发器工作在非线性区，出现功率掠夺现象，导致广播电视信号失真，电视出现马赛克黑屏，严重时将播出非法信号。

4.3 卫星干扰攻击溯源技术

针对上行信号的干扰攻击，可以通过“双星定位”技术等技术来追溯攻击者的方位。“双星定位”的原理就是利用两颗运行在地球同步轨道的卫星和用户之间的三角关系，来确定用户在地球表面的位置。双星定位系统可以实现对一个有限区域内的导航定位。双星定位主要涉及到地面接收站及两颗在轨卫星及卫星信号攻击者。在攻击者发送干扰信号的时候，卫星地面接收站根据两颗在轨卫星的位置及两颗卫星接收到攻击者发送的同一信号的时间差，可以计算出攻击者到两颗卫星的距离（星户距）。根据卫星地面接收站的地心坐标，推算出攻击者到地心的距离。根据同步轨道卫星1，卫星2，地面接收站的地心坐标，就可以计算出攻击者的当时的三维位置。

图6 双星定位溯源示意

5

安全防范建议

近年来，我国电视广播建设取得了较大的发展。建成了中央和地方二级IPTV播控平台，实现了节目安全、可靠播出的目标。

网络空间是地缘政治的映射。随着国际形势的变化，卫星或电视系统的关键基础设施面临严重的安全挑战。我们仍需要在以下方面加强工作：

（1）加强卫星通信的抗干扰能力

通信抗干扰技术比较有效的方法是采用扩频通信。根据扩频的方式不同，主要分为直接序列扩频（DS）、跳频（FH）和跳扩结合等方式。

法国商业卫星机队运营商欧洲通信卫星组织在其推出的Eutelsat8 West B卫星上部署了实验性尖端电视频道干扰缓解功能。欧洲通信卫星组织在卫星接收天线后面安装新一代变频器能够在不影响用户终端接收的下行链路频率的情况下更改上行链路信号的频率，这意味着卫星可以在被恶意上行链路信号干扰时，地面发射台和卫星接收机可以进行同步变频，保证了服务的稳定性。

此外，在地面卫星信号上行站也可采用功率较大的发射机和高增益发射天线来增加广播电视节目的上行功率，使干扰小于正常信号，进而达到强功率压制效果。

2023年底, 我国发射的中星6E卫星在自主可控的基础上，采用多种措施提升卫星抗干扰能力，并优化转移轨道程序控制方案，确保卫星安全，保障广播电视节目安全传输。

（2）加强卫星信号传输链路、地面传输链路的安全监测。

当非法电视信号插播时，由于TS传输信号的编码结构，复用结构等参数都会发生突变，在输出侧解码时会出现短时间的马赛克及黑屏现象。地面接收站通过对码流或音视频质量的实时监控可以发现异常并报警。

（3）运用卫星通信加密技术，保障播出内容安全。

通过对卫星电视的上行数据及控制信号的加密，可以有效防止插播攻击及敏感信息泄露。由于上行数据是加密的，接收端收到加扰视频数据后需要解扰解码后才能正确显示。如果解密不成功则会拒绝显示电视视频内容。

在这种情况下，攻击者需要获得密钥才能发起插播攻击，否则只能造成黑屏的攻击效果。根据卫星电视单点发射多点接收的特点，合理地运用公钥体系技术可以很好地保障了内容的安全。

（4）加强素材来源、EPG、第三方CP、OTT直播的管控，从输入侧减低风险隐患。

对于节目制作的素材，我们要做到素材来源都要先进行安全杀毒检测，对于来历不明的素材坚决不使用。

由于OTT传输由于采用互联网传输，容易受到网络攻击。关闭OTT直播通道，关闭不安全的内容入口，保障电视传播的安全。

EPG（电子节目指南系统）、CP（第三方内容提供商）这些影响到安全播出的第三方系统往往是我们防御的薄弱环节，容易成为攻击者的目标。

（5）强化网络边界防护,在网络关键节点部署上网行为管理、入侵防御检测、边界防火墙等安全设备，有效拒绝非授权访问，主动防御阻断外部攻击。

2015年4月8日晚间，法国电视5台（TV5 Monde）法语频道受到黑客攻击。

法国电视5台向媒体介绍说，8日晚10时左右，袭击从电视台的社交网络开始，紧接着，电视台内部信息系统以及全球范围内的发射台同时陷入瘫痪。工作人员在两小时后恢复了对社交网络的控制，但直到9日早上，电视台网站仍无法使用，电视节目也只能在部分地区播放。

近年来针对电视广播系统的攻击大部分都是通过网络攻击渗透完成的。为规避风险，需要我们整体规划电视广播系统的安全建设，从根源上增强网络健壮性和抗风险能力。推进安全防护系统建设，提升网络安全主动防御能力。

参考链接：

[1]https://news.china.com/socialgd/10000169/20240510/46499879.html

[2]https://www.infosecinstitute.com/resources/scada-ics-security/hacking-satellite-look-up-to-the-sky/

[3]http://www.xinhuanet.com/science/2022-08/19/c\_1310654162.htm

[4]https://m.spacechina.com/n2014789/n2014809/c3972913/content.html

启明星辰积极防御实验室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”概念首推者。截至目前，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计发布安全漏洞5000余个，持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、数据安全研究、5G安全研究、人工智能安全研究、移动安全研究、物联网安全研究、车联网安全研究、工控安全研究、信创安全研究、云安全研究、无线安全研究、高级威胁研究、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。