航空產業已成境外情報機構重點網絡攻擊目標

2021年10月31日，國家安全機關公布某航空公司數據被境外間諜情報機關網絡攻擊竊取案，其稱在2020年1月，某航空公司向國家安全機關報告，該公司信息系統出現異常，懷疑遭到網絡攻擊。國家安全機關立即進行技術檢查，確認相關信息系統遭到網絡武器攻擊，多臺重要服務器和網絡設備被植入特種木馬程序，部分乘客出行記錄等數據被竊取。

國家安全機關經過進一步排查發現，另有多家航空公司信息系統遭到同一類型的網絡攻擊和數據竊取。經深入調查，確認相關攻擊活動是由某境外間諜情報機關精心謀劃、秘密實施，攻擊中利用了多個技術漏洞，并利用多個網絡設備進行跳轉，以隱匿蹤跡。

針對這一情況，國家安全機關及時協助有關航空公司全面清除被植入的特種木馬程序，調整技術安全防范策略、強化防范措施，制止了危害的進一步擴大。

要知道，航空技術在任何一個國家都是保密程度最高的，關系到國家命脈。因此針對航空系統進行進行攻擊的情報機構基本所圖甚大，黑鳥不妨將一些歷史會攻擊我國航空系統的已經公開的APT活動列一下。

2020年04月14日，國家安全機關公布稱，2019年9月，某境外APT組織利用特種木馬，通過控制多個境外跳板設備對我國航空系統數十臺計算機設備實施高強度網絡攻擊活動。攻擊者精心偽裝竊密行為，所用特種木馬平時處于靜默潛伏狀態，接收到遠程控制指令再激活運行，整個過程十分隱蔽。

2020年03月，環球時報報道稱，根據360披露的部分信息，CIA在針對中國航空航天與科研機構的攻擊中，主要是圍繞這些機構的系統開發人員來進行定向打擊。這些開發人員的工作主要涉及航空信息技術有關服務，如航班控制系統服務、貨運信息服務、結算分銷服務、乘客信息服務等。因此360方面推測，CIA在過去長達11年的滲透攻擊里，或許早已掌握到了中國乃至國際航空的精密信息，甚至不排除CIA已實時追蹤定位全球的航班實時動態、飛機飛行軌跡、乘客信息、貿易貨運等相關情報。

2019年12月，卡巴斯基發布的APT組織攻擊報告總結中，提到了CIA使用的木馬針對中國航空部門進行攻擊。

2019年9月，奇安信威脅情報中心紅雨滴團隊發布報告，對歷史曝光的CIA網絡武器及相關資料進行研究，并發現了多種網絡武器文件，并且根據分析的結果與現有公開資料內容進行了關聯和判定。并且還發現這些網絡武器曾用于攻擊中國的目標人員和機構，其相關攻擊活動主要發生在2012年到2017年（與Vault7資料公開時間相吻合），并且在其相關資料被曝光后直至2018年末，依然維持著部分攻擊活動，目標涉及國內的航空行業。

從上述攻擊事件曝光時間線來看，不難看出針對我國航空行業的針對性竊密攻擊是持續性進行，攻擊過程使用針對性系統漏洞，并且都異常注重隱蔽性，構建的C2回傳網絡復雜多變，與傳統的魚叉、水坑攻擊不在同一維度。

航空行業的重要性不言而喻，其中涉及到各類要員的行程、信息等等機密信息。若要讓我國航空行業的網絡安全防護能夠達到防護頂級APT組織的水平，務必需要全方面對整個航空系統運轉過程中涉及到的方方面面的系統進行網絡安全演練。

圖片來自國際航空運輸協會IATA的《航空網絡安全指導手冊》譯文

http://blog.nsfocus.net/acstf-air-3/

其中不妨參考一下美國國安、五角大樓和運輸部的航空電子網絡安全計劃，該計劃不僅對真機（波音）進行安全測試，而且除飛機外，會對航空公司整個系統進行安全檢查，以發現哪些地方還有漏洞。同時美國空軍會檢查內部的飛機網絡安全系統，并與黑客問題專家、安全人員和IT專家合作，以聽取他們對航空運輸如何預防網絡攻擊的意見，往年就有在blackhat黑客大會上公開波音飛機通過機載網絡系統入侵飛機核心系統的技術分析。