网络间谍瞄准航空安全专家：联合国国际民用航空组织 (ICAO) 遭入侵

国际民用航空组织 (ICAO)是联合国的一个专门机构，目前正在调查一起重大数据泄露事件，该事件引发了人们对其系统和员工数据安全性的担忧。

在国际民用航空组织发布的最新声明（https://www.icao.int/Newsroom/Pages/ICAO-statement-on-reported-security-incident.aspx）中，该机构表示，正在“积极调查有关一起潜在信息安全事件的报告，据称该事件与一个以国际组织为目标的威胁行为者有关”。

1 月 5 日的一个热门黑客论坛上发帖称，他已获取了国际民用航空组织的 42,000 份文件，其中包括个人信息 (PII)。

国际民航组织在声明中表示：“ICAO 已确认，所报告的信息安全事件涉及 2016 年 4 月至 2024 年 7 月期间约 42,000 份招聘申请数据记录，据称这些记录是由名为 Natohub 的威胁组织发布的。” “在仔细审查数据后，ICAO 现在可以确认有 11,929 人受到影响。ICAO 目前正在联系这些人。”

从这个角度来看，攻击者的兴趣不在于破坏特定的 IT/OT 流程，而在于获取有关特定个人及其数字身份信息的目标情报。

此类策略与传统的间谍和人力情报 (HUMINT) 有关，其中网络空间是获取感兴趣数据的关键渠道。在仔细审查数据后，国际民航组织确认有 11,929 人受到影响。被盗数据包括申请人输入到被盗系统中的招聘相关信息，例如姓名、电子邮件地址、出生日期和就业历史。

在 ICAO 事件发生后不久，Resecurity发现威胁组织将ACAO（阿拉伯民航组织）作为目标。由于成功利用了易受攻击的 Web 应用程序的 SQL 注入漏洞，工作人员/成员的记录及其凭据被泄露。在被盗数据集中发现的多名受害者包括安全航空专家和事件调查员。

这些专家拥有该领域的第一手知识，可能参与敏感通信。传统的网络犯罪分子不会对此感兴趣，因为通过暗网市场获利的可能性相对较低，此外还有机会将其出售给寻找特定目标的国家支持的黑客组织。考虑到最近披露的 ICAO 事件发生的时间紧迫，这种针对（国际航空组织）的趋势令人担忧。

Resecurity 已通知受影响的机构并分享了获取的数据，数据泄露事件此前尚未披露。虽然有关泄露数据性质和泄露程度的具体细节仍不清楚，但该事件凸显了航空组织内部持续存在的漏洞。观察到的数据集包括登录名（用户名）、密码哈希、电子邮件、标题和通信。

与 ICAO 事件类似，这些数据已于 2024 年 2 月 4 日通过一个流行的暗网社区泄露。

泄露的数据集确定了卡塔尔飞机事故和事件调查组（QAAI）、沙特阿拉伯王国航空调查局（AIB）、伊朗民航局、约旦民航监管委员会（CARC）的代表，以及航空事故调查部门（AAID）的各成员。

值得注意的是，去年是极具挑战性的一年，因为发生了多起重大航空事故，其中一些事故根据情况和根本原因调查引发了复杂的地缘政治叙事。

2025 年第一季度初，新披露的针对航空安全专家的恶意网络活动开创了先例。这需要更多地关注保护关键基础设施和相关组织。

更多内容：

https://www.resecurity.com/blog/article/icao-and-acao-breached-cyberespionage-groups-targeting-aviation-safety-specialists

新闻链接：

https://securityaffairs.com/173863/data-breach/icao-and-acao-breached-cyberespionage-groups-targeting-aviation-safety-specialists.html