卫星网络遭精准攻击！伊朗关键货运船队海上失联细节披露

前情回顾·卫星网络威胁态势

• 研究员现场展示黑掉卫星的“一万种方法”

• 揭秘卫星伪基站：识别政军敏感用户 定位并窃听通信内容

• 黑掉卫星：首次成功移动轨道、劫持摄像头偷拍

• 俄罗斯卫星网络被黑：观测到连接持续中断 攻击者“声援”瓦格纳集团

安全内参8月26日消息，黑客组织Lab-Dookhtegan连续数月对伊朗基础设施展开系统性攻击。近日，他们主动联系独立网络间谍调查员Nariman Gharib，披露了一起最新行动的细节。就在8月，他们发动了一轮大规模打击。

今年3月，他们曾对116艘伊朗船只发起攻击破坏通信，以此展示了自己的实力。他们公布的新一轮行动证据更为惊人：64艘船彻底与外界失联，导航系统被清空，数字化破坏如此严重，以至于部分船只可能数月内都无法恢复。

此次攻击目标涵盖39艘油轮和25艘货轮，这些船只均隶属于受制裁的伊朗航运巨头伊朗国家油运公司（NITC）和伊朗国家航运公司（IRISL）。尽管媒体仅以“船只通讯受干扰”作为标题，但技术证据揭示的却是一段更黑暗的故事。

入侵技术细节

黑客们并未直接入侵船只系统。那几乎不可能实现，因为必须同时攻破分布在全球数十艘船上的终端。相反，他们选择了更好的突破口：Fanava集团，一家伊朗IT公司，正好为整个船队提供卫星通讯服务。

图：Fanava集团数据

黑客分享的截图显示，他们在运行iDirect卫星软件的Linux终端上取得了root权限。该系统使用的是2.6.35版本的内核。这在网络安全标准下几乎是“古董级”的存在。软件漏洞之多，甚至超过了老年人使用的Internet Explorer浏览器。

有趣的是，他们并未止步于一次入侵。数据库转储文件显示，他们绘制了整个船队的通信全景图，对每艘船的调制解调器逐一标记。MySQL查询记录中提取了包括Touska、Mahnam、Zardis在内的数十艘船的相关数据。每条记录都包含船只的调制解调器序列号、网络ID等关键信息。这几乎相当于掌握了一份完整的伊朗海事通信网络蓝图。

在系统清单中，他们特别盯上了一款名为“Falcon”的软件。这是维系所有卫星链路的核心程序，可以认为是船只通信系统的核心。一旦Falcon停摆，船只便会彻底与外界失联：无法收发邮件、无法更新天气、无法与港口协调，什么都没有。

邮件日志揭示了此次攻击行动细节。时间戳显示，他们最早在5月和6月就已取得访问权限。这意味着Lab-Dookhtegan并非3月短暂行动后便抽身离去，而是在伊朗的海事网络中整整潜伏了5个月。他们不仅保持着持久访问，还能够随时开关系统，甚至可能实时监控所有经过的通信。

从数月间不同时间点触发的“节点宕机通知”可以看出，黑客们在反复测试控制权，确认自己始终握有“钥匙”。然而到了8月，他们不再只是测试，而是选择发动一次真正的“火力打击”。

海上焦土战术

攻击者的目的远不止干扰运营，而是企图制造不可逆的损毁。部分日志显示了具有系统性数据清除效果的命令：

dd if=devzero of=devmmcblk0p1 bs=1M

对非技术人员而言，这几乎等同于用铁锤砸烂船上的通信设备。黑客用零覆盖了6个不同的存储分区，所有内容都被彻底抹除，包括导航日志、消息存档、系统配置，甚至用于远程修复的恢复分区。

图：概念验证（PoC）

想象一下，一名航行在印度洋深处的船长，突然发现卫星终端不仅离线，甚至整个系统“失去了大脑”。他无法修复，岸上的IT团队也无法远程解决，最近的港口可能还需要几天航程才能抵达。

更糟糕的是，黑客不仅切断数据通信，还窃取了整个IP电话系统的配置。黑客提供的一份电子表格中包含电话号码、IP地址，以及最令人尴尬的部分：以明文存储的密码，例如“1402@Argo”和“1406@Diamond”。

凭借这些数据，攻击者完全可能监听船只与港口之间的对话，冒充船只身份，甚至直接切断语音通信，从而制造更大的混乱。

事件影响极大

NITC和IRISL绝非普通航运公司，而是伊朗规避制裁体系的核心支柱。NITC的油轮常常关闭追踪系统，暗中将石油运往他国；而IRISL被大多数国家与组织（美国、欧盟、联合国）列入制裁名单，理由是它参与支持伊朗的核计划。

这些船只本就隐匿于阴影之中，而如今它们更是被困在阴影里：无法向国内传递信息，无法正常导航，甚至在遇险时也无法发出求救信号。

图：攻击发生时的船只位置

这是Lab-Dookhtegan今年的第二次攻击。该组织声称，早在3月他们就曾干扰过116艘船只，并将行动时间与美国在也门打击胡塞武装的军事行动刻意同步。而这一次，攻击则与美国财政部将13家涉伊朗石油交易的公司列入制裁名单的时点高度重合。

恢复难度极高

公开报道中遗漏的关键细节在于：这类损坏并非简单重启即可恢复。船只必须经过物理层面的修复。修复工作需要技术人员登船，在港口对整个通信系统进行从零开始的重装。每艘船的停运周期以周计，甚至可能长达数月。

对于一支长期被制裁压迫、依赖低调与精密协调以避免遭扣押的船队而言，这无疑是毁灭性打击。没有通信，就无法规避制裁；没有导航，就无法运输石油；若遭遇事故，更是连求救信号都无法发出。

黑客们非常清楚自己在做什么。这是一次精准打击，目的就是在最不利的时刻，令伊朗的海上行动全面瘫痪。

根据现有证据，他们的成功远远超过了外界公开报道所揭示的程度。

参考资料：https://blog.narimangharib.com/posts/2025%2F08%2F1755854831605?lang=en

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。