我国航空业已成境外情报机构网络攻击的重点目标

 文章来源：黑鸟

近日，国家安全机关公布某航空公司数据被境外间谍情报机关网络攻击窃取案，其称在2020年1月，某航空公司向国家安全机关报告，该公司信息系统出现异常，怀疑遭到网络攻击。国家安全机关立即进行技术检查，确认相关信息系统遭到网络武器攻击，多台重要服务器和网络设备被植入特种木马程序，部分乘客出行记录等数据被窃取。

国家安全机关经过进一步排查发现，另有多家航空公司信息系统遭到同一类型的网络攻击和数据窃取。经深入调查，确认相关攻击活动是由某境外间谍情报机关精心谋划、秘密实施，攻击中利用了多个技术漏洞，并利用多个网络设备进行跳转，以隐匿踪迹。

针对这一情况，国家安全机关及时协助有关航空公司全面清除被植入的特种木马程序，调整技术安全防范策略、强化防范措施，制止了危害的进一步扩大。

要知道，航空技术在任何一个国家都是保密程度最高的，关系到国家命脉。因此针对航空系统进行进行攻击的情报机构基本所图甚大，黑鸟不妨将一些历史会攻击我国航空系统的已经公开的APT活动列一下。

2020年04月14日，国家安全机关公布称，2019年9月，某境外APT组织利用特种木马，通过控制多个境外跳板设备对我国航空系统数十台计算机设备实施高强度网络攻击活动。攻击者精心伪装窃密行为，所用特种木马平时处于静默潜伏状态，接收到远程控制指令再激活运行，整个过程十分隐蔽。

2020年03月，环球时报报道称，根据360披露的部分信息，CIA在针对中国航空航天与科研机构的攻击中，主要是围绕这些机构的系统开发人员来进行定向打击。这些开发人员的工作主要涉及航空信息技术有关服务，如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。因此360方面推测，CIA在过去长达11年的渗透攻击里，或许早已掌握到了中国乃至国际航空的精密信息，甚至不排除CIA已实时追踪定位全球的航班实时动态、飞机飞行轨迹、乘客信息、贸易货运等相关情报。

2019年12月，卡巴斯基发布的APT组织攻击报告总结中，提到了CIA使用的木马针对中国航空部门进行攻击。

2019年9月，奇安信威胁情报中心红雨滴团队发布报告，对历史曝光的CIA网络武器及相关资料进行研究，并发现了多种网络武器文件，并且根据分析的结果与现有公开资料内容进行了关联和判定。并且还发现这些网络武器曾用于攻击中国的目标人员和机构，其相关攻击活动主要发生在2012年到2017年（与Vault7资料公开时间相吻合），并且在其相关资料被曝光后直至2018年末，依然维持着部分攻击活动，目标涉及国内的航空行业。

从上述攻击事件曝光时间线来看，不难看出针对我国航空行业的针对性窃密攻击是持续性进行，攻击过程使用针对性系统漏洞，并且都异常注重隐蔽性，构建的C2回传网络复杂多变，与传统的鱼叉、水坑攻击不在同一维度。

航空行业的重要性不言而喻，其中涉及到各类要员的行程、信息等等机密信息。若要让我国航空行业的网络安全防护能够达到防护顶级APT组织的水平，务必需要全方面对整个航空系统运转过程中涉及到的方方面面的系统进行网络安全演练。

图片来自国际航空运输协会IATA的《航空网络安全指导手册》译文

http://blog.nsfocus.net/acstf-air-3/

其中不妨参考一下美国国安、五角大楼和运输部的航空电子网络安全计划，该计划不仅对真机（波音）进行安全测试，而且除飞机外，会对航空公司整个系统进行安全检查，以发现哪些地方还有漏洞。同时美国空军会检查内部的飞机网络安全系统，并与黑客问题专家、安全人员和IT专家合作，以听取他们对航空运输如何预防网络攻击的意见，往年就有在blackhat黑客大会上公开波音飞机通过机载网络系统入侵飞机核心系统的技术分析。

 

原文始发于微信公众号（安全初心）：我国航空业已成境外情报机构网络攻击的重点目标