一、攻击方式

海事部门包括港口和使用港口的船舶,这些船舶的范围从小型货运船到超级油轮、运输超过两万个20英尺集装箱的超级货运船、以及运送高价值人员的超级游艇。虽然港口当局已经受到勒索软件组织的威胁和攻击,但对船舶攻击威胁的关注却比较少。

商用船舶海事部门与已经运营了几年到几十年的船舶一起运营。老旧的船舶增加了新技术,通过数字化和自动化提高效率。更新这项技术可能非常昂贵,并且取决于各种标准,包括机会、成本/风险评估、公司经济实力、以及监管要求。因此商船海事部门的许多船舶容易受到网络攻击。

超级游艇往往是新的,并且装满了最新的技术和设备,因此往往更安全。然而成功的入侵使得攻击者能够更好的控制船舶,例如成功的攻击可以远程控制油门和方向舵。

IOActive研究与战略高级副总裁John Sheehy指出了攻击者进入船舶的三个主要途径。“包括WIFI、一些船只有高频(HF)无线电、和商业卫星通信(SATCOM),例如国际海事卫星组织(Inmarsat)。除此之外,还应该包括携带U盘的内部人员,以及早期对船舶自身供应链的入侵。”

Sheehy补充表示,“卫星通信通常将Inmarsat和GPS结合起来,这是主要的威胁载体。俄罗斯APT组织有能力远程利用船舶海上环境中使用的相同类型的SATCOM终端。”

F-Secure首席技术和威胁研究员Tom Van De Wiele补充表示,“针对通信链路的攻击可以针对使用卫星通信的船只通信链路本身,也可以针对用于与海上船只通信的岸上港口基础设施。这与集装箱和船舶监控系统的航运IT基础设施的后端系统相关联。”

二、攻击影响

目前还没有已知船舶遭受严重攻击的案例,但在真正的海上事故和理论分析中可以看到潜在的影响,包括1967年的Torrey Canyon以及2021年的Ever Given事件。

超级油轮SS Torrey Canyon在英国西南海岸的岩石上搁浅,泄漏了大约100多万升原油。随之而来的环境灾难导致皇家海军和皇家空军的飞机轰炸残骸,以点燃泄漏物。2021年3月,一艘400米长、可运载2万多个集装箱的集装箱船Ever Given在苏伊士运河搁浅,并将其堵住。

这种封锁的连锁反应是巨大的。英国普利茅斯大学科技执行院长Kevin Jones教授评论表示,“关闭一条海上供应路线可能会导致严重的连锁反应,影响世界经济,每天损失数十亿美元。关于苏伊士关闭的成本有各种估计,但其中一些高达每天100或110亿美元,这些预估是在明确清理封锁造成的积压货物需要的时间和成本之前做出的。几个月后,仍有船只排队进入洛杉矶港,因为整个调度模式已被打破。”

Jones是大学海事网络威胁研究小组的负责人,其团队对仅关闭四个英国主要港口的潜在影响进行了理论分析,可能会导致像Ever Given那样的堵塞。“英国境内的石油储备、新鲜食品储备和其他重要的东西,会有一些储备,但每天都需要接收新的货物。英国有大约11个重要港口,但大多数集装箱货物只经过四个港口。如果这些港口以为其他港口所做的方式被有效堵塞,这将意味着进入英国的货物供应将急剧下降,非常接近于零。”

Jones继续表示,“清除阻塞的船只需要数周,而不是数天。假设攻击者可以选择条件,以他们想要的方式协调攻击。这很困难,但并非不可能。这基本上已经切断了对英国的商品供应,得不到新鲜的食物,也没有石油。很快就会到达发电站不再具备运行能力的地步。可以释放战略储备,但这样做会产生后果和后勤困难。因此开始失去电力,开始失去冷冻能力,家庭和散装储存的冷冻仓库在一周内就会腐烂。所有这些影响,包括运输燃料的损失,都会层出不穷,不久系统就会出现灾难性故障。这不是最有可能发生的情况,但这是一种完全在可能性范围内的情况。”

伊利诺伊大学香槟分校在美国也进行了类似的实验。Jones表示,“实验考虑只关闭佛罗里达州的一个港口。研究人员在理论实验中得出了一个结论,东海岸的人们很快就会互相射击。一般原则是,我们高度依赖通过航运进行的实时补给。暂时停止海运,就会遇到真正的问题。”

三、动机与手段

攻击海事部门的动机与任何其他行业部门的动机基本相同,包括道德/政治(黑客行动主义者)、金融(网络犯罪团伙)和地缘政治(民族国家)。黑客行动主义的可能性似乎最小,但没有技术理由可以阻止一个坚定且资源充足的黑客行动主义团体对船舶的攻击。

民族国家的威胁最令人担忧,包括但不限于俄乌冲突。多年来,众所周知,在俄罗斯西北地区,GPS卫星导航系统不可靠,俄罗斯一直在传播欺骗性的GPS信号。据报道,有船长声称GPS显示其身处内陆三英里的操场中央,然而望向窗外仍然在海洋里。

2022年2月,美国国家情报总监办公室发布了年度威胁评估报告,声称“俄罗斯正在投资电子战和定向能源武器,以对抗西方在轨资产。这些系统通过破坏或禁用对方的C4ISR(指挥、控制、通信、计算机、情报、监视和侦察)能力以及破坏GPS、战术和卫星通信以及雷达来工作。”

2022年3月17日CISA发布警告,美国和国际卫星通信(SATCOM)网络可能受到潜在威胁,成功入侵SATCOM网络可能会给SATCOM网络提供商的客户环境带来风险。

Jones表示,“有证据表明,民族国家一直在尝试破坏GPS。如果回到之前的战争中,大西洋护航队是维持国家运转的重要生命线,攻击方法就是潜艇。今天,在沙洲搁浅并被推迟到下一次漂流大潮,或者撞到防波堤并丢失货物,可能是误导。这是一种种网络/物理攻击最近几次地缘政治运动中出现的网络软化攻击的扩展。”

BluBracket产品和开发者关系负责人Casey Bisson评论表示,“与所有行业一样,海事行业越来越依赖于工业物联网和连接设备。常见的物联网风险,如弱默认凭证、未记录的后门、以及允许未经授权的远程访问和控制的漏洞,在船舶上尤其令人担忧。海上和港口的船只都容易受到破坏,并有可能在更大规模的国家冲突中被用作武器。”

IOActive的Sheehy也有类似的担忧,“乌克兰战争导致部分黑海和亚速海无法通行,这必然限制了对俄罗斯和乌克兰黑海港口的进出口。特别值得关注的是乌克兰敖德萨,它是黑海最大的商业港口。俄罗斯人可以选择使用网络行动作为升级阶梯的步骤,以便对那些对其实施制裁的国家施加成本。此外,明智的行动可能会产生全球影响,正如我们在苏伊士运河被Ever Given的封锁中看到的那样。”

欺骗GPS信号的扩展可能会使船长感到困惑,这是对船舶自动识别系统(AIS)的干扰。这可能是网络犯罪团伙在欺骗场景中采取的一种方法。这些系统广播识别和位置信息,以便其他船舶和岸上当局准确知道船舶的位置。受损的AIS可能会传输错误信息,使船出现在其他地方,或者不传输信息,使其实际上成为隐形的幽灵船。

四、威胁场景

Jones描述了一个对超级游艇进行理论攻击的例子,基本原理可以适用用于任何船只。“攻击者能够访问游艇上的系统,并且知道绘制的路线,甚至可以监控通讯,以了解船上的人员。然后对海图系统进行黑客攻击,从而误导游艇,使其认为它在国际水域保持良好,但你把它带到索马里海岸的快艇范围内。同时更改AIS应答器系统,以使船只报告自己在某个地方。快速炮艇可以出来劫持船员。游艇可能已经广播了紧急警报,并且可能已经派出了拦截船,但它会前往AIS报告位置的地方。因此实际位置和报告位置之间存在不匹配,这降低了绑架者的风险。”

海事部门已经成为勒索软件组织的目标。Netenrich的首席威胁猎手John Bambenek表示,“我们当然已经看到勒索软件影响海运,整个生态系统都由IT系统提供支持。当IT系统受到损害时,船舶可能不得不在港口等待,或者货物无法出境运送达客户。净影响看起来很像去年的供应链中断。”

JupiterOne现场安全总监Jasmine Henry同意港口本身是海洋生态圈的脆弱部分,“原因很简单,大多数人对ICS系统的可见性有限,甚至无法了解存在哪些设备,更不用说应用适当的更新或配置了。商船和港口极易受到针对非托管OT系统的日益复杂的勒索软件攻击,以及DDoS攻击、命令注入、侧载恶意软件和被利用的错误配置。”

到目前为止,几乎没有看到针对船只的犯罪袭击的证据。Jones补充表示,“我们已经看到航运公司遭受勒索软件攻击的例子,这还不是带有网络/物理威胁的灾难性攻击,包括会让船搁浅、倾覆压载物、或倾倒石油。但这无疑是已经发生的事情以及未来可能发生的事情的逻辑延伸。”

Jones教授表示,“我的工作可以看到通过控制一艘船可以做的所有真正可怕的事情。但我尽量不要太夸张,因为网络安全中有太多被过度炒作的恐怖故事。虽然我不希望小型货运公司因为无力支付数十万英镑来更新船只而倒闭,但肯定存在利用船只进行犯罪勒索和国家地缘政治活动的可能性。对于某些船只,很难缓抵御攻击,船员只有不到一分钟的时间做出反应,因此具有足够技能和决心的攻击者很有可能成功。”

海事部门缺少定期风险评估的能力。每艘船的风险不同,并且取决于航线、货物和外部威胁条件。全球经济中最大的单一供应链很容易受到网络攻击。

参考资源:

【1】https://www.securityweek.com/vulnerable-maritime-supply-chain-threat-global-economy

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。