Satellieten lekken de geheimen van de wereld: gesprekken, sms'jes, militaire en bedrijfsgegevens

Satellieten zenden voortdurend gegevens naar de aarde om ons heen. Je zou dus verwachten dat die radiocommunicatie in de ruimte gecodeerd zou zijn om te voorkomen dat iemand met een satellietschotel toegang zou krijgen tot de stortvloed aan geheime informatie die constant uit de lucht regent. Je zou het, verrassend genoeg, bij het verkeerde eind hebben.

Ongeveer de helft van de geostationaire satellietsignalen, waarvan er veel gevoelige communicatie van consumenten, bedrijven en overheden transporteren, zijn volledig kwetsbaar voor afluisteren, zo maakte een team onderzoekers van UC San Diego en de University of Maryland vandaag bekend in een onderzoek dat waarschijnlijk weerklank zal vinden in de cybersecuritysector, bij telecombedrijven en bij militaire en inlichtingendiensten wereldwijd.

Drie jaar lang ontwikkelden en gebruikten de onderzoekers van UCSD en UMD een kant-en-klaar satellietontvangersysteem van $ 800 op het dak van een universiteitsgebouw in de kustwijk La Jolla in San Diego om de communicatie van geostationaire satellieten op te vangen in de kleine ruimtestrook die zichtbaar is vanuit hun uitkijkpunt in Zuid-Californië. Door simpelweg hun schotel op verschillende satellieten te richten en maandenlang de obscure – maar onbeschermde – signalen die ze van hen ontvingen te interpreteren, verzamelden de onderzoekers een alarmerende verzameling privégegevens: ze verzamelden monsters van de inhoud van Amerikaanse gesprekken en sms-berichten op het mobiele netwerk van T-Mobile , gegevens van het wifi-gebruik van vliegtuigpassagiers tijdens de vlucht, communicatie van en naar kritieke infrastructuur zoals elektriciteitsbedrijven en offshore olie- en gasplatforms, en zelfs communicatie van het Amerikaanse en Mexicaanse leger en de politie die de locaties van personeel, apparatuur en faciliteiten onthulde.

"Het heeft ons compleet geschokt. Er zijn een aantal echt cruciale onderdelen van onze infrastructuur die afhankelijk zijn van dit satellietecosysteem, en we vermoedden al dat het allemaal versleuteld zou zijn", zegt Aaron Schulman, een professor aan de UCSD die mede leiding gaf aan het onderzoek. "En telkens weer, elke keer als we iets nieuws ontdekten, bleek dat niet zo te zijn."

Het artikel van de groep, dat ze deze week presenteren op een conferentie van de Association for Computing Machinery in Taiwan, draagt ​​de titel "Don't Look Up" – een verwijzing naar de gelijknamige film uit 2021, maar ook een zin die volgens de onderzoekers de schijnbare cybersecuritystrategie van het wereldwijde satellietcommunicatiesysteem beschrijft. "Ze gingen ervan uit dat niemand ooit al die satellieten zou controleren en scannen om te zien wat er allemaal te zien was. Dat was hun beveiligingsmethode", zegt Schulman. "Ze dachten gewoon niet dat iemand omhoog zou kijken."

De onderzoekers zeggen dat ze bijna het afgelopen jaar bedrijven en instanties hebben gewaarschuwd waarvan ze de gevoelige gegevens in satellietcommunicatie blootlegden. De meeste van hen, waaronder T-Mobile, hebben snel gehandeld om die communicatie te versleutelen en de gegevens te beschermen. Anderen, waaronder enkele eigenaren van kwetsbare Amerikaanse kritieke infrastructuur die de onderzoekers recentelijk waarschuwden – en waarvan ze de namen niet wilden noemen tegenover WIRED – hebben nog geen versleuteling toegevoegd aan hun satellietgebaseerde systemen. Onderzoekers hebben al eerder gewezen op de gevaren van ongecodeerde satellietverbindingen, maar de omvang en reikwijdte van de nieuwe onthullingen lijken ongeëvenaard.

Onderzoekers van UCSD en UMD poseren met hun satellietontvangersysteem op het dak van een universiteitsgebouw in San Diego. Van links naar rechts: Annie Dai, Aaron Schulman, Keegan Ryan, Nadia Heninger, Morty Zhang. Niet op de foto: Dave Levin.

Met dank aan Ryan Kosta

De onderzoekers keken naar slechts een klein deel van de geostationaire satellieten waarvan ze de signalen vanuit San Diego konden oppikken – ongeveer 15 procent van de satellieten die in gebruik zijn, schatten de onderzoekers. Dit suggereert dat er waarschijnlijk nog steeds enorme hoeveelheden data worden blootgesteld via satellietcommunicatie, aldus Matt Green, hoogleraar computerwetenschappen aan de Johns Hopkins University die zich richt op cybersecurity en de studie heeft beoordeeld. Grote hoeveelheden satellietdata zullen waarschijnlijk ook de komende jaren kwetsbaar blijven, aangezien bedrijven en overheden worstelen met de vraag of en hoe ze verouderde systemen kunnen beveiligen, aldus Green.

"Het is waanzinnig. Het feit dat er zoveel data via satellieten wordt verzonden die iedereen met een antenne kan opvangen, is gewoon ongelooflijk", zegt Green. "Dit artikel lost een heel klein deel van het probleem op, maar ik denk dat er veel niet zal veranderen."

"Ik zou geschokt zijn", voegt Green toe, "als dit iets is waar inlichtingendiensten van elke omvang niet al misbruik van maken."

Met name de telefoongesprekken en sms-berichten die de onderzoekers verkregen, werden blootgesteld aan het vaak over het hoofd geziene gebruik van satellietcommunicatie door telecombedrijven om mobiele dekking te bieden aan gewone telefoongebruikers die verbinding maken met zendmasten op afgelegen locaties. Sommige zendmasten in woestijn- of bergachtige gebieden in de VS maken bijvoorbeeld verbinding met een satelliet die hun signalen doorgeeft van en naar de rest van het mobiele netwerk van een telecombedrijf, de interne communicatie van het netwerk die bekend staat als 'backhaul'-verkeer.

Iedereen die zijn eigen satellietontvanger in hetzelfde gebied plaatst als een van die afgelegen zendmasten – vaak duizenden kilometers verderop – kan dezelfde signalen opvangen die voor die zendmast bedoeld zijn. Hierdoor kon het onderzoeksteam ten minste een deel van de ongecodeerde backhauldata van providers T-Mobile, AT&T Mexico en Telmex verkrijgen.

De gegevens van T-Mobile waren bijzonder belangrijk: in slechts negen uur tijd verzamelden de onderzoekers de backhaul-satellietcommunicatie van T-Mobile via hun enkele schotel, de telefoonnummers van meer dan 2700 gebruikers, evenals alle telefoongesprekken en sms-berichten die ze in die tijd ontvingen. Ze konden echter slechts één kant van die gesprekken lezen of horen: de inhoud van de berichten en gesprekken die naar de afgelegen torens van T-Mobile werden verzonden, niet van daaruit naar het kernnetwerk van de mobiele telefonie. Daarvoor was een extra satellietschotel nodig in de buurt van de schotel die T-Mobile bedoeld had om het signaal aan de andere kant te ontvangen.

Zendmasten in afgelegen gebieden maken soms verbinding met een satelliet die hun signalen doorstuurt naar de rest van het mobiele kernnetwerk van een telecombedrijf – de interne communicatie van het netwerk, ook wel 'backhaul'-verkeer genoemd. Iedereen die zijn eigen satellietontvanger in hetzelfde gebied plaatst als een van die afgelegen zendmasten – vaak duizenden kilometers verderop – kan dezelfde signalen ontvangen die voor die mast bedoeld zijn.

Illustratie: WIRED-personeel; Getty Images

"Toen we dit allemaal zagen, was mijn eerste vraag: hebben we nu een misdrijf gepleegd? Hebben we nu gewoon afgeluisterd?", zegt Dave Levin, hoogleraar computerwetenschappen aan de Universiteit van Maryland en mede-leider van het onderzoek. Sterker nog, zegt hij, het team heeft geen actieve communicatie onderschept, maar alleen passief geluisterd naar wat er naar hun ontvanger werd gestuurd. "Deze signalen worden op elk willekeurig moment naar meer dan 40 procent van de aarde uitgezonden", zegt Levin.

De Mexicaanse telecomprovider Telmex verzond ook ongecodeerde telefoongesprekken, zo ontdekten de onderzoekers. De onderzoekers ontdekten verder dat AT&T Mexico ruwe data via satellieten verzond, waaronder het internetverkeer van gebruikers – waarvan het grootste deel versleuteld was met HTTPS door de apps of browsers die ze gebruikten – maar ook metadata van gesprekken en sms'jes. Ze vonden ook decryptiesleutels waarvan de onderzoekers denken dat ze waarschijnlijk gebruikt kunnen zijn om andere gevoelige informatie te ontcijferen die het AT&T Mexico-netwerk verzond – hoewel ze dit niet hebben geprobeerd.

Vanaf december 2024 namen de onderzoekers contact op met de getroffen telecombedrijven. T-Mobile reageerde door binnen enkele weken zijn satelliettransmissies te versleutelen, maar de reacties van andere mobiele providers waren wisselend.

"Vorig jaar heeft dit onderzoek geholpen bij het blootleggen van een encryptieprobleem bij een leverancier in een beperkt aantal satelliet-backhaul-transmissies van een zeer klein aantal zendmasten. Dit probleem werd snel opgelost", aldus een woordvoerder van T-Mobile. Hij voegt eraan toe dat het probleem "niet netwerkbreed" was en dat het bedrijf maatregelen heeft genomen om "ervoor te zorgen dat dit niet meer gebeurt".

Een woordvoerder van AT&T zegt dat het bedrijf het probleem "snel" heeft opgelost. "Een satellietleverancier heeft een klein aantal zendmasten in een afgelegen gebied in Mexico verkeerd geconfigureerd", zeggen ze. Telmex reageerde niet op het verzoek van WIRED om commentaar.

Of andere mobiele providers in de VS en de rest van de wereld – buiten het zicht van de satellietschotel van de onderzoekers – hun satellietgebaseerde netwerkbackhauldata hebben versleuteld, blijft een open vraag. De onderzoekers zeggen dat ze geen ongecodeerd Verizon- of AT&T-verkeer in de VS via hun schotel hebben gezien.

De woordvoerder van AT&T zegt dat de netwerken in de VS en Mexico gescheiden zijn en dat het "zelden" voorkomt dat satellieten worden gebruikt voor mobiele backhaul. "Meestal routeren we verkeer via ons gesloten, beveiligde backhaulnetwerk", aldus de woordvoerder. "In die zeldzame gevallen waarin gegevens buiten ons gesloten netwerk moeten worden verzonden, is het ons beleid om deze te versleutelen." Verizon reageerde niet op het verzoek van WIRED om commentaar.

Naast zendmasten op afgelegen locaties is het mogelijk dat een gebrek aan encryptie voor mobiele backhaul-data iedereen op hetzelfde netwerk kwetsbaar maakt, benadrukt Green van Johns Hopkins. Hackers zouden een zogenaamde relay-aanval kunnen uitvoeren met een gespoofde zendmast – met behulp van de bewakingshardware die soms een stingray of IMSI-catcher wordt genoemd – en de gegevens van een slachtoffer kunnen routeren naar een zendmast die verbinding maakt met een satellietverbinding. "De implicaties hiervan zijn niet alleen dat een arme man in de woestijn zijn zendmast gebruikt met een ongecodeerde backhaul", zegt Green. "Je zou dit potentieel kunnen omzetten in een aanval op iedereen, waar dan ook in het land."

De satellietschotel van de onderzoekers haalde ook een aanzienlijke hoeveelheid onbeveiligde militaire en wetshandhavingscommunicatie op. Ze verkregen bijvoorbeeld ongecodeerde internetcommunicatie van Amerikaanse militaire zeeschepen, evenals de namen van de schepen. (Een woordvoerder van de Amerikaanse Defense Information Systems Agency erkende het verzoek van WIRED om commentaar, maar had op het moment van schrijven nog geen reactie gegeven).

Voor het Mexicaanse leger en de wetshandhaving waren de risico's veel ernstiger: de onderzoekers zeggen dat ze ongecodeerde communicatie vonden met afgelegen commandocentra, bewakingsfaciliteiten en eenheden van het Mexicaanse leger en de wetshandhaving. In sommige gevallen zagen ze de onbeschermde overdracht van gevoelige inlichtingen over activiteiten zoals drugshandel. In andere gevallen vonden ze tracking- en onderhoudsgegevens van militaire activa voor vliegtuigen zoals Mil Mi-17 en UH-60 Black Hawk-helikopters, zeeschepen en pantservoertuigen, evenals hun locaties en missiedetails. "Toen we militaire helikopters begonnen te zien, was het niet per se de enorme hoeveelheid data, maar de extreme gevoeligheid ervan die ons zorgen baarde", aldus Schulman. Het Mexicaanse leger reageerde niet onmiddellijk op de verzoeken van WIRED om commentaar.

Net zo gevoelig was misschien wel de communicatie van industriële systemen vanuit kritieke infrastructuur zoals elektriciteitsnetten en offshore olie- en gasplatforms. In één geval ontdekten ze dat de Comisión Federal de Electricidad (CFE), het Mexicaanse staatsbedrijf voor elektriciteit met bijna 50 miljoen klanten, zijn interne communicatie ongecodeerd verzond – van werkorders met namen en adressen van klanten tot communicatie over apparatuurstoringen en veiligheidsrisico's. (Een woordvoerder van CFE erkende het verzoek van WIRED om commentaar, maar gaf vóór publicatie geen reactie.)

In andere gevallen die ze nog niet openbaar hebben gemaakt, waarschuwen de onderzoekers Amerikaanse infrastructuureigenaren ook voor ongecodeerde satellietcommunicatie voor software voor industriële besturingssystemen. In hun telefoongesprekken met deze infrastructuureigenaren uitten sommige eigenaren zelfs hun bezorgdheid dat kwaadwillenden niet alleen de besturingssystemen van hun faciliteiten zouden kunnen inspecteren, maar deze ook, met voldoende verfijning, zouden kunnen uitschakelen of imiteren om de werking van de faciliteit te manipuleren.

De onderzoekers verkregen een enorme hoeveelheid andere bedrijfs- en consumentengegevens: ze verzamelden wifi-gegevens aan boord van Intelsat- en Panasonic-systemen die door tien verschillende luchtvaartmaatschappijen werden gebruikt. In die gegevens vonden ze ongecodeerde metadata over de surfactiviteiten van gebruikers en zelfs de ongecodeerde audio van de nieuwsprogramma's en sportwedstrijden die naar hen werden uitgezonden. Ze verkregen ook bedrijfs-e-mails en inventarisgegevens van de Mexicaanse dochteronderneming van Walmart, satellietcommunicatie naar geldautomaten beheerd door Santander Mexico, en de Mexicaanse banken Banjercito en Banorte.

Een woordvoerder van Panasonic Avionics Corporation zei dat ze "de bevindingen" van de onderzoekers verwelkomen, maar beweert dat ze "hebben vastgesteld dat verschillende aan ons toegeschreven verklaringen onjuist zijn of ons standpunt verkeerd weergeven." Desgevraagd specificeerde de woordvoerder niet wat het bedrijf als onjuist beschouwde. "Onze satellietcommunicatiesystemen zijn zo ontworpen dat elke gebruikersdatasessie de vastgestelde beveiligingsprotocollen volgt", aldus de woordvoerder.

"Over het algemeen kiezen onze gebruikers de encryptie die ze op hun communicatie toepassen, afhankelijk van hun specifieke toepassing of behoefte", aldus een woordvoerder van SES, het moederbedrijf van Intelsat. "Voor SES-klanten aan boord biedt SES bijvoorbeeld een openbare wifi-hotspotverbinding, vergelijkbaar met het openbare internet dat beschikbaar is in een café of hotel. Op dergelijke openbare netwerken zou het gebruikersverkeer worden versleuteld bij het bezoeken van een website via HTTPS/TLS of bij communicatie via een virtueel privénetwerk (VPN).

De onderzoekers meldden de delen van de ongecodeerde satellietcommunicatie van de Mexicaanse overheid en Mexicaanse organisaties in april van dit jaar aan CERT-MX, het incidentresponsteam van het land, dat onderdeel is van de Nationale Garde van de overheid, voordat ze afzonderlijk contact opnamen met bedrijven. CERT-MX reageerde niet op de herhaalde verzoeken van WIRED om commentaar.

Een woordvoerder van Santander Mexico zegt dat er geen klantgegevens of transacties zijn gecompromitteerd, maar bevestigt dat het blootgestelde verkeer gekoppeld was aan een "kleine groep" geldautomaten in afgelegen gebieden van Mexico, waar satellietverbindingen de enige optie zijn. "Hoewel dit verkeer geen risico vormt voor onze klanten, hebben we het rapport aangegrepen als een kans om te verbeteren en maatregelen te implementeren die de vertrouwelijkheid van het technische verkeer dat via deze verbindingen circuleert, versterken", aldus de woordvoerder.

"Hoewel we geen details kunnen delen, kunnen we bevestigen dat onze communicatielijnen zijn geëvalueerd en veilig bevonden", aldus een woordvoerder van Walmart. (De onderzoekers bevestigen dat ze hebben waargenomen dat Walmart zijn satellietcommunicatie had versleuteld als reactie op hun waarschuwing.)

"De informatie van onze klanten en infrastructuur zijn niet kwetsbaar", aldus een woordvoerder van Grupo Financiero Banorte. Banjercito was niet bereikbaar voor commentaar.

"SIA en haar leden blijven het dreigingslandschap nauwlettend in de gaten houden en blijven deelnemen aan verschillende beveiligingsinitiatieven met overheidsinstanties, werkgroepen uit de sector en internationale normalisatie-instellingen", aldus Tom Stroup, voorzitter van de Satellite Industry Association. Hij voegt eraan toe dat de vereniging geen commentaar geeft op specifieke kwesties die het bedrijf aangaan.

De hoeveelheid Mexico-gerelateerde gegevens in de bevindingen van de onderzoekers is natuurlijk geen toeval. Hoewel hun satellietschotel technisch gezien signalen uit ongeveer een kwart van de hemel kon opvangen, omvatte een groot deel van die strook de Stille Oceaan, waar relatief weinig satellieten boven hangen, en slechts een klein deel van de transponders op de satellieten die hij wel zag, zond gegevens uit in de richting van zijn schotel. Het resultaat, schatten de onderzoekers, was dat ze slechts 15 procent van de wereldwijde satelliettranspondercommunicatie onderzochten, voornamelijk in het westen van de VS en Mexico.

Geostationaire satellieten cirkelen rond de evenaar van de aarde. De satellietschotel van de onderzoekers op het dak van hun UC San Diego-gebouw was in staat om ten minste enkele signalen van ongeveer een kwart van die ring op te vangen. Maar omdat veel van de satellietsignalen niet naar San Diego werden verzonden – en een groot deel van hun dekking zich boven de Stille Oceaan bevond, met relatief weinig satellieten – ontvingen ze naar schatting slechts 15 procent van alle geostationaire satellietsignalen. Dat betekent ook dat andere schotels elders in de wereld waarschijnlijk heel andere signalen zouden vinden die andere gevoelige gegevens zouden verzenden.

Illustratie: WIRED-personeel; Getty Images

Dat suggereert dat iedereen vergelijkbare hardware elders ter wereld zou kunnen installeren en waarschijnlijk zijn eigen verzameling gevoelige informatie zou kunnen verkrijgen. De onderzoekers beperkten hun experiment immers tot kant-en-klare satellietapparatuur: een satellietschotel van $ 185, een dakmontage van $ 140 met een motor van $ 195 en een tunerkaart van $ 230, samen goed voor minder dan $ 800.

"Dit waren geen middelen op NSA-niveau. Dit waren middelen op DirecTV-gebruikersniveau. De drempel voor dit soort aanvallen is extreem laag", zegt Matt Blaze, computerwetenschapper en cryptograaf aan Georgetown University en hoogleraar rechten aan Georgetown Law. "Over een week zullen honderden of misschien wel duizenden mensen, van wie velen ons niet willen vertellen wat ze doen, dit werk herhalen en kijken wat ze daar in de lucht kunnen vinden."

Een van de weinige obstakels voor het repliceren van hun werk, zeggen de onderzoekers, zouden waarschijnlijk de honderden uren zijn die ze op het dak hebben doorgebracht met het afstellen van hun satelliet. Ook de diepgaande, zeer technische analyse van obscure dataprotocollen die ze hebben verkregen, is nu mogelijk gemakkelijker te repliceren: de onderzoekers publiceren hun eigen open-source softwaretool voor het interpreteren van satellietgegevens, eveneens getiteld "Don't Look Up", op Github.

Het werk van de onderzoekers kan, zo erkennen ze, anderen met minder goede bedoelingen in staat stellen om dezelfde zeer gevoelige gegevens uit de ruimte te halen. Maar ze stellen dat het ook meer eigenaren van die satellietcommunicatiegegevens ertoe zal aanzetten om die gegevens te versleutelen, om zichzelf en hun klanten te beschermen. "Zolang we aan de kant staan ​​van het opsporen en beveiligen van onveilige zaken, voelen we ons er erg goed bij", aldus Schulman.

Er bestaat weinig twijfel over, zeggen ze, dat inlichtingendiensten met veel betere satellietontvangers al jarenlang dezelfde ongecodeerde data analyseren. Sterker nog, ze wijzen erop dat de Amerikaanse National Security Agency (NSA) in een veiligheidsadvies uit 2022 waarschuwde voor het gebrek aan encryptie voor satellietcommunicatie. Tegelijkertijd gaan ze ervan uit dat de NSA – en elke andere inlichtingendienst van Rusland tot China – wereldwijd satellietschotels heeft neergezet om datzelfde gebrek aan beveiliging uit te buiten. (De NSA reageerde niet op het verzoek om commentaar van WIRED.)

"Als ze dit nog niet doen," grapt Nadia Heninger, hoogleraar cryptografie aan de UCSD en mede-leider van het onderzoek, "waar gaat mijn belastinggeld dan naartoe?"

Heninger vergelijkt de onthullingen uit hun onderzoek – de enorme omvang van de onbeschermde satellietgegevens die voor het oprapen liggen – met enkele onthullingen van Edward Snowden , die lieten zien hoe de NSA en het Britse GCHQ op enorme schaal telecommunicatie- en internetgegevens verkregen, vaak door in het geheim rechtstreeks gebruik te maken van communicatie-infrastructuur.

"Het dreigingsmodel dat iedereen voor ogen had, was dat we alles moesten versleutelen, omdat er overheden zijn die onderzeese glasvezelkabels aftappen of telecombedrijven dwingen om hen toegang tot de data te verlenen", zegt Heninger. "En wat we nu zien, is dat dit soort data gewoon naar een groot deel van de wereld wordt uitgezonden."