這不是科幻片，伊朗116艘油輪通信全面癱瘓，衛(wèi)星攻防就在眼前！

【警鐘響起】

2025年3月19日，知名黑客組織Lab Dookhtegan宣稱對伊朗兩大國有航運公司旗下的116艘油輪發(fā)動了“史上最大規(guī)模”網(wǎng)絡(luò)攻擊，導(dǎo)致這些船只的衛(wèi)星通信系統(tǒng)全面癱瘓。此次行動正值美國對也門胡塞武裝發(fā)動軍事打擊期間，被外界視為針對伊朗支持地區(qū)武裝的“精準報復(fù)”。

據(jù)海事安全公司Cydome分析，此次攻擊的核心目標是伊朗國家油輪公司（NITC）和伊斯蘭共和國航運公司（IRISL）的衛(wèi)星通信設(shè)備。黑客通過遠程入侵船舶VSAT終端，不僅切斷了船岸之間的衛(wèi)星數(shù)據(jù)傳輸，還抹除了船舶內(nèi)部網(wǎng)絡(luò)的關(guān)鍵配置文件，導(dǎo)致船員無法通過內(nèi)部通信系統(tǒng)協(xié)作。值得注意的是，所有攻擊指令均在同一時間發(fā)送，展現(xiàn)出高度自動化的攻擊鏈和精準的情報支撐。

現(xiàn)代船舶的通信系統(tǒng)已成為“單點故障”——一旦衛(wèi)星終端被攻破，黑客可借此滲透至導(dǎo)航、動力等核心系統(tǒng)。而中東局勢持續(xù)惡化更讓問題雪上加霜：胡塞武裝對紅海商船的襲擊已導(dǎo)致中歐航線繞行好望角，運輸成本激增40%；如今網(wǎng)絡(luò)攻擊與實體威脅交織，進一步加劇了航運行業(yè)風(fēng)險。

衛(wèi)星通信系統(tǒng)遭到攻擊，已經(jīng)不是個例。2022年2月24日，在俄烏沖突爆發(fā)伊始，“被烏克蘭軍方密集使用”的衛(wèi)訊（Viasat）KA-SAT衛(wèi)星通信網(wǎng)絡(luò)遭受多路蓄意網(wǎng)絡(luò)攻擊，導(dǎo)致烏克蘭與歐洲部分區(qū)域KA-SAT衛(wèi)星寬帶用戶服務(wù)中斷。Viasat公司表示，攻擊者通過破壞管理網(wǎng)絡(luò)并發(fā)出管理命令，覆蓋設(shè)備的閃存來關(guān)閉客戶的家用調(diào)制解調(diào)器，使它們無法重新連接到網(wǎng)絡(luò)。隨后的調(diào)查和取證分析確定了攻擊者是從地面網(wǎng)絡(luò)發(fā)起攻擊，利用VPN設(shè)備中的錯誤配置來遠程訪問KA-SAT的受信任管理網(wǎng)絡(luò)。攻擊者通過這個受信任的管理網(wǎng)絡(luò)橫向移動到用于管理和操作網(wǎng)絡(luò)的特定網(wǎng)段，然后在大量住宅調(diào)制解調(diào)器上執(zhí)行了有針對性的管理命令。這次攻擊的直接結(jié)果是，數(shù)以萬計的在線調(diào)制解調(diào)器從KA-SAT網(wǎng)絡(luò)中掉線，無法重新加入網(wǎng)絡(luò)。

【深入剖析】

我們發(fā)現(xiàn)：面對專業(yè)黑客組織攻擊，甚至上升至國家級網(wǎng)絡(luò)空間對抗時，衛(wèi)星通信系統(tǒng)其實非常脆弱；目前國際上針對衛(wèi)星互聯(lián)網(wǎng)的攻擊，呈現(xiàn)高頻化，擴大化的趨勢；衛(wèi)星互聯(lián)網(wǎng)國內(nèi)未爆發(fā)大規(guī)模安全事件，主要是因為商用民用尚未普及，沒有引起黑產(chǎn)關(guān)注，但是使用衛(wèi)星網(wǎng)絡(luò)的用戶都是高價值目標，未來一定會成為網(wǎng)絡(luò)安全事件的重災(zāi)區(qū)。

根據(jù)研究分析，伊朗油輪涉及的衛(wèi)星通信設(shè)備為iDirect公司的衛(wèi)星調(diào)制解調(diào)器產(chǎn)品。該品牌隸屬于美國衛(wèi)星通信行業(yè)巨頭STE公司（STEngineering iDirect），該公司提供政府及軍用衛(wèi)星通信產(chǎn)品，產(chǎn)品類型包括iDirect調(diào)制解調(diào)器、集線器和衛(wèi)星通信解決方案，主要服務(wù)于服務(wù)商、網(wǎng)絡(luò)運營商、政府機構(gòu)、大型企業(yè)、軍隊等客戶。其Evolution系列是衛(wèi)星通信場景中“星狀網(wǎng)”的典型代表機型，包括型號：EvolutionX3、EvolutionX5、EvolutionX7系列在海事上有著廣泛的應(yīng)用，可以通過www.daydaymap.com了解全球設(shè)備分布情況。

攻擊組織通過對iDirect終端進行掃描和測繪，利用弱口令，獲取了終端root權(quán)限，編寫自動攻擊腳本，使用終端自帶的命令對終端存儲器進行擦除，從而破壞了終端系統(tǒng)，造成無法正常工作。iDirect系列調(diào)制解調(diào)器通常存在默認口令，一般用戶不會主動修改該密碼導(dǎo)致默認口令的風(fēng)險存在。另一方面，由于設(shè)備廠商較少提供系統(tǒng)更新服務(wù)，導(dǎo)致系統(tǒng)版本的陳舊也增加了較大安全風(fēng)險。

衛(wèi)星通信系統(tǒng)為何如此脆弱？

衛(wèi)星通信網(wǎng)絡(luò)的結(jié)構(gòu)導(dǎo)致了比地面多路由隔離的網(wǎng)絡(luò)風(fēng)險更高，由于衛(wèi)星通信空中通信接口的開放性，使得黑客通過入侵小站即可進入衛(wèi)星通信網(wǎng)，然后可以通過主站的專線直接入侵用戶內(nèi)網(wǎng)。

供應(yīng)鏈不可控且不可靠是非常大的安全隱患。目前在用的衛(wèi)星通信設(shè)備主要供貨商都是國外產(chǎn)品，國外供應(yīng)商在關(guān)鍵設(shè)備、樞紐部件上有意無意、或多或少的預(yù)制后門，留有漏洞。有些設(shè)備廠商通過后門可以直接還原用戶傳輸?shù)拿芪臄?shù)據(jù)；還有的廠商使用較為脆弱的過時加密算法，使用個人計算機即可達成破譯。

通過對設(shè)備固件進行提取分析發(fā)現(xiàn)，廣泛存在廠商預(yù)置的賬號，用于遠程登錄和管理控制。這成為了衛(wèi)星網(wǎng)絡(luò)常用的入侵手段，伊朗油輪衛(wèi)星終端以及Viasat衛(wèi)星網(wǎng)絡(luò)攻擊事件就是采取此類方法，存在重大安全隱患。

衛(wèi)星終端安全設(shè)置薄弱，網(wǎng)絡(luò)異構(gòu)，網(wǎng)絡(luò)設(shè)置和通信設(shè)置都比較復(fù)雜，這也帶來了很大的安全風(fēng)險。

衛(wèi)星通信系統(tǒng)組網(wǎng)和控制缺乏安全防護措施，控制面、業(yè)務(wù)面、用戶面共用空口信道，但是沒有進行安全隔離，不同網(wǎng)絡(luò)用戶缺少安全隔離機制。衛(wèi)星通信運營商目前只為用戶提供基本的通信服務(wù)，缺乏完善的通信安全防護措施。

【解決方案】

要徹底解決衛(wèi)星通信的安全問題，用戶需要督促衛(wèi)星通信設(shè)備的供應(yīng)商，升級衛(wèi)星終端，盡量排除隱患。有條件的用戶可以更換全國產(chǎn)的衛(wèi)星通信系統(tǒng)，防止留存后門。

針對在用的衛(wèi)星通信系統(tǒng)，如何提升其安全性？盛邦安全已發(fā)布衛(wèi)星互聯(lián)網(wǎng)安全解決方案，能從查、測、防等三個方面進行安全加固，主要包含以下內(nèi)容：

1、衛(wèi)星網(wǎng)絡(luò)系統(tǒng)徹查

針對衛(wèi)星互聯(lián)網(wǎng)運營單位及用戶，提供空口側(cè)、地面?zhèn)鹊陌踩珯z查服務(wù)，包括通信體制、通信模塊、鏈路層協(xié)議、互聯(lián)網(wǎng)POP節(jié)點、地面信關(guān)站及終端漏洞的脆弱性分析，并能形成安全分析報告。

2、網(wǎng)絡(luò)資產(chǎn)排查和分析

通過衛(wèi)星互聯(lián)網(wǎng)測繪，排查衛(wèi)星通信網(wǎng)和地面專網(wǎng)的信息資產(chǎn)暴露面及脆弱面，摸清楚資產(chǎn)底數(shù)，建立安全基線。

3、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)隔離

由于衛(wèi)星通信相對昂貴，移動載體通常是利用一個衛(wèi)星通信信道滿足多種需求，包括上網(wǎng)，辦公，工業(yè)控制等多種業(yè)務(wù)需求，這給安全防護帶來了巨大挑戰(zhàn)。基于衛(wèi)星網(wǎng)絡(luò)特殊性，通過密碼定義網(wǎng)絡(luò)邊界技術(shù)，實現(xiàn)控制面、業(yè)務(wù)面、互聯(lián)網(wǎng)面在波束共用時，終端接入和數(shù)據(jù)訪問權(quán)限的安全隔離。

4、衛(wèi)通通信的安全防護

提供衛(wèi)星通信加密解決方案，保障衛(wèi)星終端接入的安全和通信的加密防護，為衛(wèi)星通信系統(tǒng)提供衛(wèi)星信道的安全防護措施和終端接入的安全控制。