In den letzten Tagen veröffentlichten die ukrainischen Streitkräfte immer wieder Bilder abgefangener Shahed 136 Drohnen. Diese vom Iran produzierten Drohnen werden von Russland gegen die Ukraine eingesetzt. Das Pikante: Die Drohnen sehen nicht aus, als seien sie abgeschossen worden. Es entsteht der Eindruck, sie seien einfach gelandet und dabei geringfügig beschädigt worden. In Kombination mit den Aussagen des ukrainischen Abgeordneten Oleksandr Fediyenko, der andeutete, dass es neue Entwicklungen im Bereich elektronische Kriegsführung gibt stellt sich die Frage: Kann die Ukraine die Shahed Drohnen hacken? In diesem Artikel versuchen wir der Frage auf den Grund zu gehen.
Was wir über die Elektronik von Shahed 131/136 aus öffentlich zugänglichen Quellen wissen:
In der Shahed 136 ist ein SDR (Software Defined Radio) verbaut, welches Senden und Empfangen kann. Bei einem SDR handelt es sich um einen Sender und Empfänger, welcher im Gegensatz zu einem Autoradio oder einem Handy nicht nur einen schmalen Frequenzbereich abdecken kann, sondern einen sehr großen. In diesem Kontext bedeutet das, dass man als Ziel der Drohne nicht einfach „gängige“ Frequenzen für Drohnensteuerung überwachen kann, sondern ein breites Band scannen muss. Dabei ergibt sich das Problem, dass es viele andere Signale, wie Funkgeräte, Mobiltelefone, TV und Radio und mehr gibt, welche man von den Steuersignalen der Drohne unterscheiden können muss.
Das in der Shahed 136 verbaute SDR kommuniziert vermutlich mit dem Flugsteuerungssystem (FCU, Flight Control Unit) der Drohne. Dies ist bereits interessant, da es auf die Fähigkeit der Drohne hindeutet Daten senden und empfangen zu können. So könnten z.B. Flugroute oder Zielkoordinaten während des Fluges angepasst oder Telemetriedaten von der Drohne zurück zum Bediener gesendet werden.
Für die reine Navigation per Satellitennavigation, wie dem amerikanischen GPS oder dem russischen GLONASS wäre dies nicht nötig. Das SDR könnte theoretisch auch Komponenten enthalten, mit welchen ein Abfangen oder Stören der Drohne durch Störsender (Jamming) verhindert werden soll. Dies ergibt in dem Zusammenhang jedoch wenig Sinn, da man dafür einfachere Komponenten nutzen könnte. Daher liegt es nahe, dass die Drohne Steuersignale empfangen und auch Daten selbst an den Bediener zurückschicken kann. Es gibt Berichte über die Fähigkeit der Drohne, in einer Entfernung von bis zu 150 km neue Zielkoordinaten vorgeben zu können. Da die Drohne nicht über eine Kamera verfügt, dürfte die direkte Steuerung ähnlich einer FPV-Drohne zwar vielleicht möglich, aber wenig praktikabel sein. Damit könnte man sie als Loitering Munition einsetzen, welche eine Weile über dem Kriegsschauplatz wartet, bevor sie ein Ziel zugewiesen bekommt oder dieses manuell angeflogen wird. Dies ist jedoch nicht Aufgabe der Shahed, sondern der kleineren ZALA Lancet Drone, welche einen live Video Feed an den Operator zurücksendet. Die Shahed 131 und 136 sind Fire and Forget Waffen: Die Drohne wird vor dem Start programmiert und fliegt anschließend zu den voreingestellten Koordinaten.
Dies macht es auch schwieriger, solche Drohnen elektronisch zu stören, da sie keine permanente Funkverbindung zum Bediener benötigt. Anhand von veröffentlichten Fotos einer Kommunikationsplatine aus einer Shahed 136 kann man erkennen, dass zwei Sendeempfänger des Typs AD9361 der Firma Analog Devices zum Einsatz kommen. Diese arbeiten in einem recht breiten Frequenzbereich von 70 MHz bis hin zu 6Ghz und werden auch in 3G und 4G Mobilfunk Basisstationen verwendet. In der Praxis ist meist ein schmalerer Bereich nutzbar, da die verwendeten Antennen und Filter den nutzbaren Bereich limitieren. Somit kann die Drohne also Daten empfangen – was ein Potenzieller Angriffsvektor sein kann, wenn man die Kommandos und die Technik dahinter versteht.
Amerikanische Bauteile in iranischen Drohnen
Nach ukrainischen Angaben kommt in der Flugsteuerung ein Prozessor des US-Unternehmens Texas Instruments, der TMS320F28335, zum Einsatz. dabei handelt es sich um einen Mikrocontroller der für Echtzeitsteuerungsanwendungen optimiert ist und mit eigener Software vom Kunden programmiert werden kann. Also ideal für den Einsatz als Gehirn einer Drohne. Dieses „Gehirn“ ist der zweite neuralgische Punkt, den es anzugreifen gilt, wenn man die Kontrolle über die Drohne übernehmen möchte.
Nur auf der richtigen Frequenz die vermuteten Befehle zu senden, wird bei einer militärischen Drohne nicht ausreichen. Man muss den SDR-Empfänger, dessen Kommandos und etwaige Sicherheitssysteme zwischen dem Empfänger und der Flugsteuerung (FCU) untersuchen und genau verstehen. Etwa, wie man bei einer Bank den Wachmann, das Türschloss, den Weg zum Tresor und die Art des Tresors und dessen Schloss verstehen muss, wenn man unerlaubt dort rein möchte.
Ukraine braucht intakte Drohnen
Hierin liegt das ganze Problem. Man muss das Innenleben einer oder mehrere Drohnen möglichst intakt erbeuten, was bei einem Abschuss selten der Fall ist. Anschließend muss man durch Reverse Engineering (rekonstruierende Entwicklung) aus dem fertigen Produkt den Weg zurück zu den einzelnen Komponenten und deren Funktionsweise finden. Da man keine Dokumentation vorliegen hat und bei Versuchen immer wieder Komponenten beschädigt werden, kann dies lange dauern. Man muss auch die Software aus den Chips extrahieren, entschlüsseln und anschließend verstehen. Auch der Chip von Texas Instruments verfügt nach den Produktinformationen der Firma über solche Sicherheitsvorkehrungen. Etwa, wie wenn man einen gebackenen Kuchen vor sich hat und den Weg zurück zu den Zutaten und der Zubereitung verstehen muss.
Wenn man den Software-Code erbeutet hat, kann man die Befehle, die Authentifizierung und Schwachstellen im Code suchen. Mit Glück und Können findet man so einen Weg, die Kontrolle der Drohne zu übernehmen. Teilweise gibt es Möglichkeiten, eine Authentifizierung komplett zu umgehen. So wie, wenn man bei der verschlossenen Bank einfach durchs geöffnete Fenster klettert. Oder man findet eine Schwachstelle in einem Befehl, welcher die Drohne zur Landung zwingt. So wie wenn man dem Fahrer des Geldtransporters zu rufen könnte „Glaub mir! Ich bin der Bankdirektor – gib mir das Geld einfach direkt,“ und dieser würde es ohne Nachfrage akzeptieren.
Waren es Hacker?
Die Häufung von gelandeten Shahed Drohnen legt nahe, dass es eine solche Entwicklung gab. Fraglich, wie weit das Wissen reicht. Eine zur Landung gezwungene Drohne kann in der Ukraine keinen Schaden mehr anrichten. Eine zur Umkehr gezwungene Drohne, welche den russischen Bediener bombardiert, wäre ein schwerwiegenderes Problem für Russland. In einem solchen Fall dürfte das Katz-und-Maus-Spiel von russischen Entwicklern und ukrainischen Hackern um die Sicherheit des Codes der Drohne schon lange im Gange sein.
Oder war es Jamming?
Eine andere Theorie ist trivialer: Nämlich, dass die Drohnen per GPS-Jamming eine andere als ihre tatsächliche Position vorgegaukelt bekommen. Dadurch könnte man sie so lange im Kreis fliegen lassen, bis der Kraftstoffvorrat erschöpft ist. Anschließend würde sie zurück zum Boden segeln. Da die Shahed über einen Aufschlagzünder verfügt, stehen die Chancen gut, dass sie eine solche Landung übersteht.
Das Problem an dieser Theorie ist, dass die Shahed neben dem Satelliten gestützten Navigationssystem auch über Trägheitsnavigation (INS) und ein Pitotrohr verfügt, welches per Staudruck die Geschwindigkeit misst. Somit kann die Drohne registrieren, wenn sich die vom vermeintlichen Satelliten gesendeten Koordinaten ändern – ihre Position aber plötzlich von den vorausgesagten abweicht.
So oder so scheint die Ukraine einen Weg gefunden zu haben, die Drohnen unschädlich zu machen. Es bleibt abzuwarten, ob sich diese Fälle nun häufen.
Ein Kommentar