F-35: analisi sui rischi cyber del caccia di quinta generazione

(di Alessandro Fiori)
12/09/19

Il seguente articolo ha scopo puramente divulgativo, illustrativo e di studio. I “test” eseguiti nell’articolo non sono dei reali test sulle infrastrutture o reti altrui, ma semplici ricerche e analisi di dati pubblici, reperiti attraverso piattaforme terze.

Ogni test reale DEVE essere eseguito previo ESPLICITO CONSENSO SCRITTO da parte del proprietario della rete o infrastruttura in analisi.

Ogni test eseguito senza esplicito consenso scritto è ILLEGALE.

Il Jet F-35 Lightning II è un caccia di quinta generazione, sviluppato dall’americana Lockheed Martin, nato come velivolo stealth multiruolo, per la supremazia aerea.

Ne sono stati concepiti tre modelli differenti:

- il modello F-35A CTOL - Conventional Take-off and Landing, ovvero un modello con decollo e atterraggio convenzionali

- il modello F-35B STOVL - Short Take-Off and Vertical Landing, ovvero un modello a decollo corto e atterraggio verticale

- il modello F-35C CATOBAR - Catapult Assisted Take Off But Arrested Recovery, ovvero un modello con decollo assistito da catapulta e arresto assistito da cavi.

Questo modello in particolare, dato il sistema di decollo e atterraggio, è pensato per le portaerei.

Dal momento che il velivolo deve poter operare in qualunque situazione e possiede sistemi di decollo e atterraggio diversi a seconda del modello, il tutto si tramuta, dal punto di vista tecnologico, in un sistema molto complesso, formato da molteplici sotto-sistemi dotati di componenti hardware e software interconnessi tra loro.

Il jet è studiato per ottenere la supremazia aerea grazie al proprio armamento e alla condivisione delle informazioni, a tal fine è stata creata una vera e propria rete, con due sistemi di supporto a piloti e operatori alla quale il caccia è costantemente connesso grazie a due sistemi software pensati per lo scopo, il sistema ALIS e il sistema JRE.

Il sistema ALIS (Autonomic Logistics Information System) permette di supportare le operazioni di manutenzione dei velivoli, permettendo agli operatori di poter sostituire un componente o semplicemente controllare lo stato dell’aereo in maniera centralizzata, aumentando la disponibilità dei velivoli stessi.

Tramite ALIS, inoltre, è possibile creare e mantenere una pianificazione delle operazioni in maniera condivisa.

È disponibile un approfondimento di tale sistema, direttamente sul sito dell’azienda produttrice del caccia (link).

Il sistema JRE (Joint Reprogramming Enterprise) è un database condiviso, che permette lo scambio di informazioni tra gli alleati di un’operazione.

Per fare un esempio, se un F-35 rileva un radar nemico questa informazione verrà condivisa e tutti gli alleati sapranno dell’esistenza di quel radar, rendendo più semplice l’attuazione di una eventuale strategia o più semplicemente evitando che tutte le Forze alleate debbano reperire l’informazione a loro volta.

Questo tipo di condivisione delle informazioni è un fattore chiave nella riuscita di una missione, ma dal momento che il sistema dell’aereo è connesso ad una rete per lo scambio delle stesse, questo può nascondere dei grossi problemi di sicurezza informatica che possono compromettere il risultato per cui questo caccia è stato creato.

Per riuscire a comprendere i rischi derivanti da questi sistemi, analizziamo sia i sistemi a bordo del caccia, che la rete a cui si connette, tramite un’analisi dei dati pubblici, disponibili su piattaforme terze e reperibili online.

L’F-35 possiede un complesso sistema di elaborazione, e ogni sistema di elaborazione ha il proprio sistema operativo.

Un sistema operativo (OS – Operating System) è un software che gestisce sia la componente hardware che software di un elaboratore.

Il sistema operativo equipaggiato dall’F-35 è di tipo “real time”, ovvero un particolare tipo di OS che deve rispondere alle elaborazioni in un determinato tempo prefissato, per l’appunto in Real Time.

L’OS in questione è l’INTEGRITY RTOS (abbreviazione, appunto, di “Real Time Operating System”), sviluppato dalla Green Hills.

Attualmente, questo OS è presente, oltre che nell’F-35, anche nel bombardiere stealth B-2, nel caccia F-16, nel caccia F-22 Raptor e nell’aereomobile civile Airbus A380.

Dovendo gestire sistemi di importanza critica, l’OS è protetto da una sandbox, ovvero una zona protetta e isolata dalle restanti componenti hardware e software.

Per poter spiegare meglio il concetto di sistema operativo dentro una sandbox, si può immaginare una stanza (sistema), con una cassaforte nel centro (sandbox), protetta con una forte combinazione (password) e magari con allarme (Firewall).

All’interno della cassaforte (quindi all’interno della sandbox) è presente il “cuore” del sistema, ciò che ha più valore e che esegue le operazioni più critiche.

Proteggere l’OS racchiudendolo in una sandbox permette quindi di innalzare di molto il livello di sicurezza generale di tutto il sistema.

Tale sandbox è formata da vari componenti, come la Interpeak IPShell, Interpeak IPWEBS e Interpeak IPCOMShell.

Il primo rischio grave è relativo ad alcune vulnerabilità in grado di bypassare la sandbox, per comunicare direttamente al sistema operativo e poter eseguire comandi:

https://github.com/bl4ckic3/GHS-Bugs

Le vulnerabilità sono state riconosciute e contrassegnate con dei CVE (Common Vulnerabilities and Exposures), ovvero dei codici univoci di riconoscimento delle vulnerabilità:

CVE-2019-7711 - https://nvd.nist.gov/vuln/detail/CVE-2019-7711

CVE-2019-7712 - https://nvd.nist.gov/vuln/detail/CVE-2019-7712

CVE-2019-7713 - https://nvd.nist.gov/vuln/detail/CVE-2019-7713

CVE-2019-7714 - https://nvd.nist.gov/vuln/detail/CVE-2019-7714

CVE-2019-7715 - https://nvd.nist.gov/vuln/detail/CVE-2019-7715

Le vulnerabilità scovate sono relative alla versione di Integrity RTOS 5.0.4

Il secondo rischio è derivante dalla natura interconnessa dei sottosistemi dell’aereo, questo perchè se un aggressore riuscisse a penetrare in un sistema ausiliario, ad esempio il GPS, potrebbe ottenere l’accesso anche al sistema centrale, compromettendo l’intero velivolo.

Questa eventualità, se combinata con le vulnerabilità precedentemente descritte, potrebbero costituire una seria minaccia alla sicurezza dei piloti e delle missioni che svolgono.

Come detto in precedenza, la vera natura del caccia F-35 non è quella di essere un velivolo “a se stante”, bensì la vera evoluzione rappresenta la rete di supporto e di interscambio dati con gli altri velivoli.

Questo grande punto di forza può facilmente tramutarsi in una vulnerabilità, in quanto essendo connesso ad una rete esterna, questa è potenzialmente attaccabile.

La rete di supporto al caccia è formata da diversi “hub” nazionali, ovvero dei nodi di collegamento, i quali però fanno riferimento a due nodi centrali, gestiti dalla Lockheed Martin a Fort Worth, in Texas, e Orlando, in Florida.

In questi due nodi sono veicolate tutte le informazioni presenti nei nodi periferici.

Alcuni esperti hanno sollevato non pochi dubbi e polemiche sulla quantità di informazioni che vengono trasmesse alla Lockheed Martin e sostengono che siano più del dovuto.

Questo tipo di rete può rappresentare un serio rischio, in quanto nonostante questi datacenter (ovvero una serie di server che elaborano le informazioni ricevute dai nodi esterni) abbiano misure di sicurezza estremamente elevate, se venissero compromessi, l’intera rete dei caccia collegati risulterebbe compromessa, provocando nel caso peggiore l’inabilità al combattimento di tutta la flotta degli F-35.

Questa ipotesi, per quanto incredibile, non è da considerarsi remota, in quanto possono esistere degli operatori interni al datacenter che sfruttando la loro posizione possono eseguire le operazioni più disparate per errore (o, nel caso peggiore, intenzionalmente dannose).

Questo tipo di minaccia viene chiamata, appunto “minaccia interna” (o “internal threat”).

Questa possibilità di una minaccia interna, di riflesso, porta gli esperti a domandarsi se i dati e l’intera rete relativa alle missioni venga gestita dalla Lockheed Martin nella maniera più consona.

A questo proposito, possiamo provare a trovare degli indicatori di compromissione, ovvero degli “indizi” che possono ricondurre ad una possibile compromissione sulla rete della Lockheed Martin.

Ovviamente tale analisi è da considerarsi solo un esempio, e i dati ricavati potrebbero rivelarsi dei falsi positivi, in quanto potrebbero essere stati generati da honeypot (sistemi operativi appositamente installati per deviare un avversario dai sistemi reali) o da altri sistemi di allarme che hanno già neutralizzato una possibile minaccia.

Inoltre, l’analisi è effettuata utilizzando esclusivamente dati da fonti pubbliche, e non direttamente sulla rete interessata, aumentando la possibilità di un falso positivo.

La piattaforma su cui andremo ad effettuare l’analisi è ThreatCrowd, una piattaforma gratuita, la quale attinge ai dati di altre piattaforme come VirusTotal, e disegna un grafico che rappresenta le connessioni effettuate in una rete.

I risultati restituiti dalla piattaforma possono essere di quattro tipologie:

- IP – Indirizzi IP collegati al dominio in analisi, non per forza malevoli

- E-mail – Server o indirizzi e-mail collegati al dominio

- Sotto-domini – Sotto-domini direttamente collegati al dominio in analisi

- Hash – Stringhe alfanumeriche che rappresentano file rilevati dalle varie piattaforme collegate a ThreatCrowd, non per forza malevoli.

Ecco come si presenta la piattaforma ThreatCrowd:

Fonte: https://www.threatcrowd.org/

Nel box di ricerca, inseriamo il dominio “lockheedmartin.com”.

Fonte: https://www.threatcrowd.org/

La piattaforma restituisce un grafico delle connessioni che avvengono nella rete interna, e nei vari sotto-domini:

Cliccando sull’apposito pulsante in alto a sinistra, possiamo analizzare il risultato in forma tabellare:

Fonte: https://www.threatcrowd.org/

Analizzando il risultato, possiamo notare come non siano presenti hash, bensì solo sotto-domini, indirizzi IP e una e-mail.

La presenza di hash sulla piattaforma è indice che nel tempo le varie piattaforme da cui ThreatCrowd recupera i dati, hanno segnalato la presenza di file malevoli, gli hash in questo caso sono interpretabili infatti come le “firme” dei virus.

Sebbene questo non è indice di una compromissione diretta, in quanto tali alert possono essere generati anche da sistemi anti-intrusione installati per proteggere il Dominio, questa indicazione è certamente un indicatore importante, in quanto può evidenziare un possibile incidente di sicurezza passato.

Non sembra esserci, quindi, nessun indicatore certo di compromissione, almeno in superficie.

Per scendere un po più “in profondità” abbiamo bisogno di analizzare singolarmente i risultati restituiti da ThreatCrowd.

Il primo risultato utile all’analisi, è l’indirizzo e-mail, lm-nic@lmco.com di cui la piattaforma restituisce cinque hash utili:

e21b3469b4fc1efddf76d8c89f1ebb2a

709622547c3e4b44144047282940995b

11769c481554f793ec20fe2b0189a751

4ca7d150cc798011d5cb7d4c5be89f41

9844a1b8a10ed4568240ae7a528bef5d

Per verificare che tali hash siano riferiti a file malevoli, inseriamo su VirusTotal tali valori per esaminarne i risultati.

VirusTotal è una particolare piattaforma su cui l’utente può caricare qualunque tipo di file, per farli analizzare in automatico da numerosi motori antivirus.

I risultati delle scansioni antivirus sono poi condivisi sulla piattaforma, la quale verifica le connessioni effettuate da tali file in una sandbox, per rendere più completa l’analisi.

Dal momento che la piattaforma può analizzare file e siti web, risulta essere un valido strumento nel cercare indicatori di compromissione nelle reti esterne, senza eseguire analisi invasive.

Questo è il risultato da VirusTotal del primo hash:

Fonte: https://www.virustotal.com

Come si può osservare, tale file risulta essere malevolo, ma per verificare se possa essere un reale indicatore di compromissione, dobbiamo analizzare se per l’email rilevata esistano delle relazioni recenti per una presunta infezione.

Non possiamo cercare direttamente l’indirizzo e-mail, ma possiamo cercare su VirusTotal il dominio “lmco.com”.

Fonte: https://www.virustotal.com

Come si può notare, la piattaforma rileva che sono presenti più di 10 file sospetti che comunicano con il dominio in analisi.

Per visualizzare I file sospetti, clicchiamo su “Relations”

Fonte: https://www.virustotal.com

Come possiamo notare, sono presenti molteplici file malevoli che comunicano con il dominio “lmco.com”, collegato al dominio “lockheedmartin.com”, la cui data (19/08/2019) è molto vicina alla data di scrittura dell’articolo (20/08/2019).

Questo può rappresentare un attacco in corso, ma dal momento che ciò può derivare anche da honeypot, Intrusion Prevention Systems (ovvero sistemi creati per bloccare le minacce prima che raggiungano i server interessati), Antivirus o altri sistemi di analisi, ancora una volta non abbiamo certezza che ci sia realmente un attacco (ma può essere comunque considerato un indicatore di compromissione).

Un altro indicatore può essere notato analizzando il dominio “lockheedmartin.com”

Fonte: https://www.virustotal.com

In questo caso I file rilevati che comunicano con il dominio sono due, con date molto vicine all’analisi.

Sono inoltre presenti alcuni file, nel cui contenuto è presente il dominio analizzato (sezione “Referring files”)

VirusTotal, infatti, non analizza solo le connessioni che vengono instaurate dai file malevoli, bensì analizza il contenuto dei file (body), e lo analizza alla ricerca di domini, indirizzi IP e stringhe di testo che possono essere utili per un’analisi futura.

Per avere una visione più ampia dei sistemi in analisi, proviamo a cercare su Shodan (un motore di ricerca creato per cercare dispositivi collegati in Rete) la stringa “lockheed martin”:

Fonte: https://www.shodan.io/

Come da schermata, possiamo notare che sono presenti dei server, pubblicamente accessibili, che hanno attivo il protocollo RDP (Remote Desktop Protocol – il Desktop Remoto).

Questo ovviamente non può essere considerato un indicatore di compromissione, ma di sicuro rappresenta un rischio, per via delle numerose vulnerabilità che affliggono tale protocollo.

Con questo si vuole sottolineare, ancora una volta, che ciò non vuol dire che i server rilevati siano vulnerabili, bensì nell’analisi è da tenere in considerazione come un possibile rischio.

Questo tipo di analisi è utile in quanto, dal momento che non si conosce la rete interna, considerando il caso peggiore, un sistema interno potrebbe essere collegato agli hub centrali di interscambio con cui comunicano i sistemi ALIS e JRE.

Nonostante l’analisi sia esterna e siano state prese in considerazione tutte le limitazioni del caso, prima della pubblicazione di questo articolo l’azienda è stata già contattata per tali indicatori, in quanto gestisce un sistema critico.

Limitandoci all’analisi dei rischi cyber dell’F-35, ricordo che l’aereo può equipaggiare bombe B-61, ovvero testate nucleari all’idrogeno (i sistemi Lockheed Martin e gli F-35 stessi, quindi, sono considerabili sistemi critici).

Ovviamente l’F-35 non è affetto solo da problemi cyber, a giugno 2019 solo l’8,7% della flotta di prova ha raggiunto la piena capacità combattiva, rispetto al valore preventivato dell’80%.

Il programma in se è molto costoso, si stima infatti che solo l’Italia abbia speso finora 4 miliardi per finanziare il progetto, e attualmente in Italia è presente una linea di produzione completa, gestita dalla Leonardo, a Cameri (v.articolo)

Il rischio maggiore, sotto questo punto di vista, è prettamente industriale ed è rappresentato dalla possibilità che lo stabilimento di Cameri potrebbe trovarsi senza velivoli da costruire dal 2023.

Questo per l’Italia potrebbe davvero essere un tema da affrontare in tempi brevi, dal momento che questo rischio può tramutarsi facilmente in una grossa opportunità per il Paese.

Oltre ai rischi cyber analizzati in questa sede e alle inefficienze riportate dai test, vi è da aggiungere che sono in sperimentazione e in fase progettuale dei nuovi caccia di sesta generazione ma, dal momento che lo sviluppo di questi caccia è alle fasi iniziali, non rappresenta un rischio diretto per l’F-35.

   

Per approfondire:

https://it.wikipedia.org/wiki/Lockheed_Martin_F-35_Lightning_II

https://www.lockheedmartin.com/en-us/products/autonomic-logistics-information-system-alis.html

https://www.theregister.co.uk/2019/03/28/f35_software_fail/

https://www.documentcloud.org/documents/5000528-GAO-Cybersecurity-Report-2018.html

https://www.documentcloud.org/documents/5736009-FY2018-DOT-E-F35-Report.html#document/p8/a483617

https://www.theregister.co.uk/2018/01/30/f35_dote_report_software_snafus/

https://www.ghs.com/products/safety_critical/integrity-do-178b.html

https://www.pogo.org/investigation/2019/03/f-35-far-from-ready-to-face-current-or-future-threats/

https://www.repubblica.it/esteri/2018/08/27/news/f-35_il_cavallo_di_troia_del_software_che_dice_tutto_agli_americani-205027485/

https://fightersweep.com/10783/hacking-the-f-35-turning-the-fighters-biggest-strength-into-its-biggest-weakness/

https://www.lantidiplomatico.it/dettnews-ancora_problemi_per_il_caccia_f35_gli_stati_uniti_dovrebbero_interrompere_il_costoso_programma/27922_30154/

https://www.dote.osd.mil/pub/reports/FY2018/pdf/dod/2018f35jsf.pdf

https://www.airforce-technology.com/features/future-fighter-aircraft-sixth-generation/

https://www.lantidiplomatico.it/dettnews-f35_gi_obsoleti_inizia_la_guerra_dei_caccia_di_sesta_generazione_tempest_faxx_ngf_sukhoi_okhotnik_mikoyan_mig41_e_mitsubishi_f3/27922_29983/

https://www.defenseindustrydaily.com/you-can-track-your-f-35s-at-alis-maintenance-hub-04368/

https://www.startmag.it/innovazione/f-35-leonardo-finmeccanica-e-lockheed-ecco-come-la-lega-bacchetta-conte-e-trenta/

Foto: U.S. Air Force / U.S. Navy / Lockheed Martin