利用卫星系统漏洞攻击船舶系统案例

在2018年的欧洲信息安全展（Infosecurity Europe）上，国外信息安全研究机构Pen Test Partners展示了针对船舶信息系统的整个攻击流程，通过这些攻击流程，攻击者可以入侵船舶、追踪船舶位置、窃取和更改船舶信息，可以控制船舶导致其与其他船舶碰撞，攻击者甚至可以通过网络攻击阻塞英吉利海峡。笔者在 malwarebenchmark公众号文章看到这个消息[1]，对此比较感兴趣，然后分析了Pen Test Partners三篇原文[2, 3, 4]，对这些资料进行分析整理，供大家参考。

海事/船舶网络安全问题已是老生常谈。船舶缺乏基本的网络安全卫生，劫持船舶的卫星通信并在船上终端上获得管理权限几乎不是太困难的事情，许多终端暴露于互联网，并且使用简单的默认口令。卫星通信终端硬件，通过Telent和 HTTP进行管理，使用未签名的固件。黑客也可以通过安装较旧、更易受攻击的固件版本来提升他们的权限，因为它没有回滚保护机制。系统中安全漏洞普遍大量存在。ECDIS（船舶用于导航的电子海图系统）单元中存在“各种疯狂的安全漏洞”，包括运行Windows NT等古老操作系统。这些系统使用未以任何方式进行身份验证、加密或验证的纯文本NMEA 0183消息进行通信。

利用船舶的OT系统的漏洞易如反掌，黑客完全可能控制船上的许多关键控制基础设施，包括舵机、发动机和压载泵等等。近日，Warontherocks.com上的一篇文章《CAN’T SAIL AWAY FROM CYBER ATTACKS: ‘SEA-HACKING’ FROM LAND》再度将船舶网络安全问题抛出，并将其上升到国家安全战略的高度。现将该文编译如下，供学习参考。

关于海事/船舶网络安全的警告已经发出多年，但仍然没有明显改观的迹象。其实这些可能用于攻击船舶网络的技术非常简单——通过船上导航系统穿透平台，然后水平穿过船上网络，以获得对转向和油门等关键系统的控制。黑客正是这样做的——令人惊讶的是，在开始渗透之前，他们并没有预先知道他们要入侵的特定系统。他们在极短的时间内进入并通过导航界面，并快速连续控制转向系统和油门。通过这项努力，2021年8月在拉斯维加斯举行的年度网络安全会议DefCon的海事黑客村获得了令人垂涎的“黑色徽章”。

本次会议的哈克海村“SeaTF”黑客挑战，允许3-5人的团队获得在受控环境亲身体验使用黑客真正的海上硬件Fathom5的“恩典”海上网络安全测试平台。模拟海桥设置，旨在准确复制通常使用远洋船舶上的设备，允许黑客团队攻击漂浮的环境。使用真实的组件和协议，黑客能够渗透不同的海事子系统，包括导航、消防和转向系统。虽然今年的挑战要求黑客通过与笔记本电脑的有线连接来使用推进、转向和导航系统，但明年的希望是提供无线环境。

重要的是，2021年的比赛再次证明，来自陆基系统和环境的黑客技能很容易转移到海上环境中。获胜团队既没有模拟环境的经验，也没有一般的海上黑客经验。一个熟练的黑客团队通常最多需要14小时才能穿透系统保护措施并远程控制转向和油门控制。虽然DefCon上使用的模拟确实需要“插入”设备，但如2017年2 月所示，通过远程访问实施攻击是可能的，当黑客控制了一艘从塞浦路斯开往吉布提的德国集装箱船时。黑客破坏了转向和操纵控制。只有当一个IT团队上船进行补救时，船员才重新控制了转向。船舶互联网协议和串行网络的隔离可以防止这种情况。

海上阻塞点成为有吸引力的攻击目标

世界上大部分重要的经济和军事交通都通过少数被称为“海上咽喉要道”的狭窄战略水道。虽然这些水道一直是海盗、天气和海上事故的多发区域，但现在海上网络攻击也加入了这些危险——无论是为了赎金、恶意破坏、海盗行为，还是作为更大的地缘政治冲突的一部分。当一艘商船或军舰因海上黑客攻击而被战略性延迟时，关键的运输将延迟数天或数周。长赐号（Ever Given）等现代集装箱船的巨大尺寸使得攻击其转向系统或前进速度成为武器化船只的一种手段。尝试将一艘大型新集装箱船从陆基单元远程接地是值得一个恶意行为者努力的。

由于通过其双车道和单车道部分的交通流量和预期速度，苏伊士运河可能是更有利可图的网络中断目标之一。承载着全球12%贸易量的30%的世界集装箱运输量通过运河。船舶，包括最大的集装箱船，通过运河可以在从印度到意大利的三周行程中平均缩短12天的时间。众所周知，这条205米宽的运河即使在适度的速度下也具有挑战性，适用于Ever Given大小的船舶。其120英里长的狭窄运输通道为网络引发的中断提供了机会，特别是如果有人想阻止向地中海和欧洲输送石油和天然气。如果运河被封锁，公司必须采取替代路线——绕道好望角，增加10-12天的运输时间、燃料成本和安全成本。相比之下，根据兰德2006年的一项研究，马六甲海峡的关闭只会使过境时间再增加三天。

随着2021年3月23日巨大的集装箱船Ever Given搁浅，世界重新陷入“海上阻塞点”问题。这艘巨轮封锁了苏伊士运河六天。Ever Given这次不是网络目标，但它的停航表明当一艘船停在阻塞点时，它对全球贸易的潜在影响。例如，英国广播公司报道由于担心封锁会影响原油运输，导致国际市场原油价格上涨4%。Ever Given于2018年下水，是世界上最大的船只之一。它由一家日本公司建造和拥有，由一家台湾公司租赁和经营，并在巴拿马国旗下航行。类似尺寸的船舶在全球贸易中所占的比例越来越大，2015年相对较新的苏伊士运河增加了第二条航道，部分原因是为了容纳巨型货船。

运河的宽度足以容纳如此大的船只，但目前两个渠道两侧的物理间隙仍然有限。速度或对风对大型船只影响的理解错误可能（在这种情况下确实如此）来自人为错误。但它们也可能受到难以检测的网络入侵这些船只的导航和转向系统的刺激，尤其是在较新的船只中。用于转向和导航的互联网协议网络通常没有为网络安全进行有效隔离.。它们连接到串行总线网络，构成对船舶运营至关重要的监控和数据采集系统。Ever Given停航造成的阻塞向具有网络能力的恐怖分子或对手表明，如果他们能够从船舶本身、集装箱内容和引航管理系统中操纵或破坏过境机制，他们就有可能造成明显破坏。即使是巴拿马运河等船闸的基本电力供应，也为已经表现出愿意攻击关键基础设施的坏人提供了中断可能。900公里长的马六甲海峡承载着全球40%的海上贸易，其中包括全球四分之一的海运石油，中东80%的石油和天然气经此供应给中国。交通拥堵是其主要挑战，特别是在新加坡附近海峡狭窄至仅2.7公里宽的地方。除了构成一个有利可图的目标之外，这些阻塞点还为潜在的不良行为者提供了机会，无论是从岸上还是通过远程方式，跟踪特定的船舶、船东的船队、船员、内容、来源、目的地国籍或任务，以便选择目标。

随着船舶和系统越来越依赖自动化，这些风险变得更加严重。完全自主的船舶是该行业和美国海军的既定目标。此类系统应包括适当的网络安全。

船舶和网络安全仍未受重视

2018年，PenTest Partners的安全研究人员在货船和集装箱船上常用的电子海图显示和信息系统中发现了漏洞。这些海图系统通常与GPS引导的自动驾驶仪相关联，当被利用时，黑客可以访问船舶的操作技术：如果网络不隔离，黑客可以远程操纵船舶的转向、压载泵和导航。许多船舶上的电子海图系统通常直接从属于自动驾驶仪，使船舶自动遵循海图航向。黑客可以通过重定向船的过程中通过卫星通信种植虚假信息，以误导航行的决定。船上的许多卫星通信终端都可以在公共互联网上使用默认凭据访问，并且可以远程入侵。许多其他路径也可以证明是船舶网络攻击的有用载体。例如，2018年的研究还表明，一些船舶上的电子海图系统仍在使用具有许多已知重大漏洞的遗留操作系统，例如Windows NT，通常是因为这些操作系统升级成本高昂。即使发现恶意控制，如陈词滥调，也很难及时重新获得控制权。

商业船舶网络往往具有扁平网络架构，这些架构最初是未分段的网络，没有防火墙或其他网络安全措施作为其架构的一部分。一旦进入这样的网络，就可以在整艘船的系统中四处走动。内部系统通常使用制造商默认口令，不仅在防火墙上，而且在运行系统的关键可编程逻辑控制器以及卫星通信设备上。

研究人员在计算机安全论坛中发现了其他漏洞，例如使用船舶的卫星终端作为渗透点。终端向攻击者开放系统，替换安全性较差的固件或简单地恢复到安全性更低的先前版本，然后更改运行终端的应用程序。类似的研究结果也产生了类似的担忧。进入——无论是通过电子海图系统、卫星通信终端，还是任何其他面向外的通信——意味着能够秘密控制关键的船舶系统，并以攻击者想要的任何理由使用大量货物。

一开始，一些专家认为Ever Given停航是一次网络事件。当检查航海数据记录器时，这种推测在本案中被证明是错误的。然而，正如长期担任网络控制系统专家的Joe Weiss所指出的那样，网络中断的可能性仍然存在。尽管这艘船相对年轻，但可能安装用于控制和导航的最新海洋电子设备并不能解决前面讨论的漏洞。最近的 DefCon演习并不是模拟海上黑客攻击的一次性成功例子。在 Ever Give 的实际接地的同时，一组博士生参加了 NavalX “Hack the Machine””练习——使用与 DefCon 相同的“Grace”海事系统——以确定“黑客”是否可以通过云网络成功远程攻击海事系统。该团队成功了，“入侵并破坏了 [虚构船舶的] 网络安全监控系统。”

参阅：卡喉苏伊士运河的“长赐”号货轮是遭到网络攻击了吗？

这些疏忽是目前尚未解决的主要安全和安保问题。一个原因是船员技能的差距以及在进行中维护网络安全系统的成本。在系统上留下较差的默认管理口令意味着攻击者可以控制这些系统。

航运可作为网络作战武器

攻击者不会忽视糟糕的海上网络安全带来的机会。网络行动可以在经济或政治利益方面提供足够好的投资回报，使其具有吸引力，甚至可能有利可图。中国、俄罗斯和伊朗等美国对手从这些漏洞中吸取教训，并将其整合到更大的网络活行动中。例如，俄罗斯在2016年至2019年间至少欺骗了船舶的GPS 7,910 次，影响了大约1300艘商船。2017年，据说数百艘韩国渔船被迫返回朝鲜，进一步网络攻击导致了毁灭性的NotPetya攻击。同年类似攻击导致大型马士基航运公司瘫痪。2021年7月，天空新闻报道称，其获取的一些文件来自一个名为 Shahid Kaveh的伊朗进攻性网络部队，该部队是伊斯兰革命卫队网络司令部的一部分。他们展示了关于如何使用网络技术击沉货船的研究，并包括有关全球航运业使用的卫星通信系统的详细信息。

参阅：伊朗针对西方的秘密网络战计划被曝光

从太空对船只的例行黑客攻击即将到来。目前全球导航卫星系统星座包括美国的GPS、俄罗斯的GLONASS、欧盟的GALILEO、日本的QZSS、中国的北斗和印度的NAVIC系统。每个国家的船只都倾向于使用自己国家的导航系统。如今，没有哪个国家的商船具备必要的安全性，而且在中短期内，它们在确保船上系统安全方面落后。有人谈论使用较旧但功能强大的无线电波技术作为基于卫星系统的更安全的替代方案，但讨论才刚刚开始。值得怀疑的是，eLORAN等替代方案的速度有多快或范围有多广。要实现这一目标，需要大型造船公司和航运公司对网络安全的投资和紧迫感。正如一位研究人员所说，“[电子图表] 系统几乎从来没有防病毒软件。” 在美国和欧洲保护陆基个人计算机的反病毒行业始于30多年前，但在此期间推出的大量具有复杂计算机架构的巨轮仅包含基本的网络保护。

美国和盟国军舰——以及世界上大多数出口经济体——计划通过苏伊士运河和其他咽喉要道自由过境。伊朗情报部门收集了地图、手段和动机，以利用海上网络弱点开展伊朗战役。在1990年代中期，奥萨马·本·拉登 (Osama bin Laden) 的基地组织 (al-Qaeda) 尝试使用公共交通进行各种未遂攻击，尤其是在巴黎。六年后的9月11日，基地组织使用商用客机攻击纽约市的双子塔。海上网络环境极其不安全。利用这些船只的技术手段很好地分布在没有海事系统经验的陆基黑客中。弄乱一艘过往的船并不需要太多高级技术。机会是众所周知的，从阻塞点和船舶对外部网络的依赖，云和卫星导航通信。动机与对手一样多种多样，从勒索软件罪犯到“仅仅因为他们可以”的机会主义者，再到国家对手及其代理人。

西化的民主国家可以接受或忽视这一挑战。关于增加国家对美国航运支持的积极讨论——危险地依赖中国或其他外国托运人——并没有解决滞后的网络安全和黑客入侵大型集装箱船的全球破坏潜力。90％的世界贸易的海上旅行和4000万个就业机会依赖于贸易。在经典的军事战略思想中，手段、机会和动机的三位一体缺乏最后的“何时”。

国家安全战略行动应包括对商业航运激励措施的重大改变，以确保——而不仅仅是赔偿——船舶的网络防御。对海上交通的威胁不容忽视。威胁是真实的，不仅仅是为美国海军确保港口和船体。严肃的国家安全应对措施应包括胡萝卜加大棒。我们建议要求进入美国水域的集装箱和其他商船提供网络安全证明，并大幅增加联邦财政支持，为满足美国海运业需求的港口、航运和造船厂提供网络安全支持。

实际上，美国海事行业应将2020年国家海事网络安全计划和目前在SHIPYARD 法案背后的谈判中提出的法案扩展到港口之外，将集装箱船作为紧急的第一步。新政策需要证明并为所有向美国港口运送货物的集装箱船的网络安全升级提供资金。这是一项战略和国家应对措施，应该与其他已建立的航海国家协调一致并合作实施。美国政府与民主盟友联合起来，可以对世界海上舰队的建造、运营和保险方面被认为是正常但严重不足的事情施加强大的影响。美国及其盟国是全球海事社会技术经济体系的主要利益相关者。这与美国的主要对手中国打算在船舶、港口、出口量、政治和个人胁迫、军事剑拔弩张和技术指挥方面占据主导地位的系统相同。网络漏洞助长了他们在全球所有这些领域的领先地位。美国要么直接与商业和政府利益相关者解决问题，要么当对手在他们选择的时间和地点发动攻击时，它会花费更多的成本和代价。正如DefCon演习所表明的那样，即使是黑客的好奇心也可以将船变成武器。美国要么直接与商业和政府利益相关者解决问题，要么当对手在他们选择的时间和地点发动攻击时，它会花费更多的代价。

一、近年海运船舶遭受网络攻击的案例

自动化和人工智能技术在船舶领域的广泛运用，似乎为针对航运业的网络攻击开辟了新的途径。近年来，航运业遭受了严重的网络攻击。“欺骗”一艘船所需的技术并不复杂，相关设备也并不昂贵，相关技术设备很容易就可以在网上下载和采购。据报道，在黑海已经发生了船舶被“欺骗”事件。那次在黑海，许多船只报告其GPS定位位置出现异常，部分船舶发现自己“飘”到了机场。在与上述事件相同的区域，其中一艘船的GPS遭受了欺骗式干扰。当时，该船在海上，但船上的定位系统却显示它在陆地上。而且，由于导航系统故障导致的船舶碰撞和海上事故也多次出现。2017年5月，一次欺骗式干扰导致一艘美国海军舰艇与一艘韩国渔船相撞。2017年2月，一艘8250标准箱（TEU）的集装箱船，在从塞浦路斯到吉布提的航线上，被黑客攻陷。攻击者接管了该船的导航系统大约10个小时。期间，船长完全无能为力，无法让该船重新投入运行。在之前韩国报告的船舶GPS遭受干扰事件中，有280多艘船只导航系统出现问题，他们的GPS信号被黑客干扰，导致部分船载GPS无法接收导航卫星的信号，部分船载GPS接收到错误的卫星信号数据。当GPS不能正常工作时，船舶发生灾难性事故的风险非常高。一旦发生事故，将对船员、船舶和环境造成严重危害。

在最近的一次网络攻击事件中，一艘美国船只的船载控制系统被恶意软件攻击。该网络通常用于更新电子海图，管理货物数据，并与岸基设施进行通信。美国联邦调查局报告称，该船缺乏相应的安全策略是黑客攻击奏效的主要原因，导致了该船控制系统的关键凭证被窃取。在另一起类似事件中，黑客远程入侵了美国海军承包商的船载计算机，窃取了大量的机密数据（614 GB）。近年来，由于海运业在网络安全方面的投资不足，以及攻击成功将导致海上运输中断，航运业已成为黑客勒索攻击的诱人目标。

2020年，2艘船舶被AZORult木马感染了勒索软件Hermes 2.1。木马以电子邮件的形式，在附件中携带包含启动宏的Word文档，导致网络上的多个工作站受到影响。

2021年，多家希腊航运公司受到勒索软件攻击，该攻击通过一家IT咨询公司的系统传播。这次事件显示了船东、船舶管理公司和航运业的IT供应链存在传播和扩散风险的现实可能，他们中有很多人受到了黑客攻击的影响。几天后，1艘船被黑客劫持，另有多达6艘船在阿曼湾报告，其对船舶转向机构失去控制。这些事件被定性为是“网络海盗”。在另一起网络攻击事件中，一艘新建的干散货船，由于其电子海图显示与信息系统感染了一种未知的病毒，延误了几天的行程。相关事件中，感染源和感染手段都是未知的。根据《船舶网络安全导则》，事故导致船舶的行程延误和维修费用合计高达数十万美元。

港口的信息系统遭受了一系列类似的网络攻击事件，影响了海事部门的基础设施。最常见的攻击类型包括网络钓鱼、恶意软件、社会工程、暴力破解和拒绝服务。

2020年3月，法国马赛（Marseilles）港遭到了“Mespinoza/Pysa”勒索软件的袭击。在此次网络攻击事件中，海上基础设施由于与主要攻击目标艾克斯-马赛-普罗旺斯（Aix-Marseille-Provence）的信息系统互联而受到攻击行动的影响。在另一起大规模网络攻击事件中，丹麦马士基（Maersk）集团公司的港口网络系统遭受了“NotPetya”恶意软件的攻击，全球许多其他与其有业务往来的航运公司也受到了影响。马士基的船舶仍在海上航行，但其在全球76个港口的网络终端已经停止运行。

在此事件之后的2020年，法国达飞海运集团（CMA CGM SA）遭受了严重的勒索软件攻击，影响了其网络上的一些服务器，使客户无法从外部访问该公司的应用程序和预订系统。2022年，美国休斯顿港成了攻击目标，攻击行动涉及一个密码管理程序，该程序包含一个以前未知的漏洞。黑客利用这个漏洞安装了授予其网络访问权限的恶意代码，他们利用这些代码窃取并控制网络访问所需的登录凭据。幸运的是，这次黑客攻击行动被成功拦截，“没有任何系统受到影响”。所有这些案例都证实，现代网络攻击不仅仅是操纵导航或篡改船舶货物装载数据，它们可以扰乱地区和全球供应链，甚至危及船上船员或乘客的生命安全。表1列出了近年海上运输船舶遭受网络攻击的案例。

表1 近年海上运输船舶遭受网络攻击的案例

时间	事件	后果
2016年	韩国附近船载GPS遭受干扰	280艘船受到影响
2017年	针对导航系统的网络攻击	相关船只被劫持10小时
2018年	针对导航系统的网络攻击	美海军舰艇与一艘小船相撞
2018年	对黑海船载GPS实施的欺骗式干扰	20艘舰船“漂移”至某机场
2018年	远程入侵船载计算机	窃取敏感数据
2018年	针对GPS实施欺骗式干扰	操纵船舶位置
2018年	NotPetya恶意软件攻击	航运基础设施受影响
2018年	电子海图显示与信息系统被病毒感染	导致船舶航行延误
2019年	恶意软件攻击一艘美国船只	窃取关键凭证
2020年	勒索软件Hermes 2.1攻击2艘船	全网被病毒感染
2020年	勒索软件“Mespinoza/Pysa”攻击	海事基础设施被感染
2021年	勒索软件攻击航运公司	航运公司所有的文件被加密
2022年	安装恶意代码	获得网络端口的访问权限

研究者首先对船舶的卫星通信箱进行公开信息收集，利用Shodan搜索引擎搜索包括国际海事卫星组织Inmarsat、Telenor和Cobham的卫星通信箱，这些设备具有Web管理界面，发现包括Inmarsat的早期品牌为“Rydex”的终端，Cobham的“Sailor 900”终端以及KVH CommBox终端等Web管理界面存在安全漏洞，有的不需要登录就可以查看配置信息，有的存在信息泄露问题。

搜索org：“Inmarsat Solutions US”找到的国际海事卫星组织的卫星通信箱Web登录页面，有大量的Globe Wireless的登录信息，通过明文的HTTP连接，还有早期的“Rydex”品牌，这些设备可能使用过时的固件

Cobham部分产品存在信息泄露漏洞，搜索sailor 900不需要认证就能获取卫星天线细节信息，包括经纬度和航向数据。

KVH CommBox终端，在登录页面的右下角，可以看到船名（用黑色掩盖真正的船名）

KVH CommBox终端，在登录信息下方，有一个“显示用户”地址链接，可在这一页面列出了所有在线用户的名单。

KVH CommBox终端，“显示用户”链接泄露其他在线用户信息，这些信息可以为后续的社会工程学攻击提供资料。

KVH CommBox终端，将鼠标悬停在GUI上，泄露的网络配置信息。

还有大量通信终端使用弱口令或者默认口令。

研究者利用Shodan搜索到存在漏洞的卫星通信箱以及其所属的船舶，再通过在线的AIS系统搜索船舶所处的地理位置，制作了存在漏洞的船舶追踪系统，系统界面如下，其中有颜色的点表示船舶的卫星通信箱CommBox存在不同程度的漏洞。

比Shodan Ship Tracker只提供AIS数据更进一步，这可以算作有史以来第一次存在漏洞的可进行网络攻击的船舶追踪器，通过可点击的地图漏洞展示漏洞船舶，可以通过ptp-shiptracker.herokuapp.com进行访问，为了防止被黑客利用，研究者故意没有实时刷新数据。

笔者访问http://ptp-shiptracker.herokuapp.com/的截图，有颜色的点表示存在安全漏洞的船只（访问速度比较慢）。

研究者利用他们在物联网、车联网和SCADA安全方面的专业知识，对Cobham（Thrane & Thrane）的一款卫星通信终端进行了漏洞挖掘。

拆解的Cobham卫星通讯终端电路板。

发现多个安全问题：

1. 发现管理界面可以通过Telnet和HTTP登录，下载固件后，发现固件缺乏签名机制，仅简单的检查CRC校验和。

2. 发现在终端上运行的整个Web应用程序均可以编辑。 这可能会导致攻击。

3. 固件没有回滚保护。 这意味着具有某种访问权限的黑客可以通过安装较旧的更易受攻击的固件版本来提升权限。

4. 发现管理界面密码被保存在配置文件中，并且使用未加盐的MD5进行散列，这可能会被黑客破解。

5. 还发现一些其他问题，但仅私下向Cobham披露，不予公开。

四、通过攻击电子海图系统ECDIS，向船舶发送错误路线
通过卫星通信终端，研究者可以通过渗透方式进入船舶网络。研究者还发现船舶网络没有采用严格的隔离措施，一旦侵入卫星通信终端，攻击者就可以进入船舶内部网络。
ECDIS是对船只进行导航的电子海图系统，该系统可以直接指挥自动驾驶仪 --大多数现代船舶多数时间处于“轨迹跟踪”模式，遵循ECDIS的指令进行自动驾驶。如果通过卫星通信终端渗透到电子海图ECDIS系统中，将造成严重后果。
研究者测试了20多种ECDIS设备，发现这些设备安全状况堪忧，大多数设备运行过时的操作系统，包括Windows NT操作系统，这些操作系统存在很多漏洞，可以很容易就拿到控制权限。即使是广泛的应用于军事领域的设备也存在同样的情况。
通过渗透手段，控制ECDIS后，可以实现船舶位置欺骗，这种攻击比GPS欺骗具有更高的隐蔽性。如果在大雾天气中，或者配备自动驾驶的船舶上，可能会导致撞船事故。

通过篡改电子海图数据实现GPS偏移，演示图片显示的是将船只从多佛港的一边跳到另一边。

因为ECDIS为AIS系统提供数据，通过隐秘的将ECDIS中船舶宽度数据更改为超级大，可以触发AIS系统的船舶碰撞警告，如果在英吉利海峡这样的狭窄繁忙的海峡利用这样的方法攻击多艘船舶，可能会导致海峡堵塞，影响供应链安全。

欺骗电子海图系统ECDIS，即可“扩大”船舶并将其“跳跃”到航道中，假如将船只宽度扩大为一平方公里，ECDIS经常为船舶用来避免相互碰撞的系统AIS提供数据，可以造成虚假的碰撞警报，如果这样的攻击发生在英吉利海峡，可能会将造成阻塞。

船舶的控制系统（OT）控制舵机、发动机和压载泵等船舶设备，通过串口总线连接，但是在GPS、卫星通信、ECDIS等几个点与其他网络桥接起来，进入这些网络，就可以攻击控制系统。控制系统通过NMEA 0183进行通信，研究者发现这个协议通过明文传输，缺乏加密、身份认证和校验机制，可以进行中间人攻击。简单的将发送给自动驾驶器的指令中左转更改为右转，只需要更改消息的一个字符和CRC校验码即可，但这将造成严重后果，这种攻击方法比传统的GPS欺骗具有更高的隐秘性。

NMEA 0183消息格式。可以看出通信过程没有消息认证，加密或校验过程。通过明文发送，可以进行中间人，修改数据。

通过修改GPS自动驾驶仪命令来更改方向舵命令。将R更改为L（右至左方向舵命令！），然后在最后更改2个字节的XOR校验和。

Pen Test Partners认为，船舶信息系统的安全防护水平还处于比较低的水平。船舶信息安全还主要由ICS / SCADA工程师负责，他们大多出身自动化相关专业，缺乏信息安全知识。船舶信息系统原本是封闭系统，许多设备是船舶专用设备供应商提供的，升级换代比较慢，而且本身没有充分考虑信息安全问题。目前，这些以往封闭的系统，逐渐通过VSAT，GSM / LTE甚至Wi-Fi进行持续连接，船员的互联网接入，与电子导航系统，电子海图系统ECDIS，自动驾驶系统，推进系统，负载管理和许多其他复杂的系统混合在一起，将导致灾难性后果。

自动化设备和网络信息系统在现代船舶中的广泛应用，为黑客和恶意行为体对不同的网络发起攻击提供了新的机会，这些攻击行动可能导致灾难性的后果，并造成重大安全损失。研究界已经做了大量的研究工作来识别现代海运业中存在的网络漏洞，并研究了过去几年出现的现实的网络犯罪案例。根据《海事行业面临的网络安全威胁：对最新情况和未来趋势的系统调查》分析，这些攻击的共同目的主要是获得对船舶的远程控制权，窃取可用于发动进一步攻击的重要机密信息，或通过破坏重要组件，使自动化系统不可用，进而破坏船舶的操控系统。事实上，现代船舶中的大多数网络信息系统都不安全，容易受到攻击，因为它们被认为对网络安全和船舶性能不太重要。

（一）船舶自动识别系统

船舶自动识别系统的应答器利用无线电进行通信，没有任何身份验证或完整性检查程序，这使得黑客可以利用它广播虚假信息。如《船舶自动识别系统的安全评估》所述，软件定义无线电被攻击者用来发送虚假的“海上船舶（man-in-the-water）”位置信号，避免该船受到关注，甚至发布虚假的天气预报。我们有理由相信，不准确的数据可能会导致船员做出错误的选择，甚至引发灾难性的后果。在此背景下，国际海事组织批评了披露船舶及其行程信息的行为，因为披露的这些信息十分有利于黑客实施针对性的攻击。

（二）全球定位系统

全球定位系统和导航技术在海事部门应用广泛，是各种网络攻击的直接目标，攻击方旨在利用其设计缺陷，破坏依赖于这些技术的服务的稳定性。此类攻击行动具有中高风险，因为除了违反数据和服务协议外，还存在导致设备物理损毁的可能性。据报道，有几次网络攻击都试图利用这种技术缺陷。例如，发起GPS信号欺骗的攻击者，能够在不触发系统告警或报错的情况下，改变船只的航线。在类似的案例中，韩国发生的GPS信号干扰事件，影响了1000多架飞机和700多艘船只的GPS信号接收，整个干扰行动持续了一个多星期。这种网络攻击可分为中高难度，是GPS和导航系统设计标准存在漏洞导致的。根据《海上网络安全事件回顾性分析》，卫星通信系统，包括通过卫星开通互联网，实现船舶相互连接的，以及与陆地连接的船载卫星通信系统，都存在大量的安全漏洞。例如，设备留存有工厂设置的默认帐户；使用不安全，甚至是未备案的连接协议；具备密码重置功能和存在后门。

（三）全球导航卫星系统

全球导航卫星系统是与其它系统联系最紧密的系统之一。因此，自主船舶依靠先进的卫星通信系统来传输操作指令和传感器数据，这可能让它面临网络攻击的风险。例如，遭受分布式拒绝服务攻击、数据包篡改和中间人攻击。此外，由于简单的实施拒绝服务攻击堵塞网络，干扰压制卫星信号等行动，在技术上比较拙劣，容易暴露攻击行动。因此，阻塞式干扰行动对于进攻方来说得不偿失，可能是典型的高成本、低回报的攻击行动。此外，由于许多船舶严重依赖卫星定位技术，全球导航卫星系统的故障可能导致其他船舶系统（例如船舶自动识别系统）无法正常工作。自主运输系统必须能够与后台地勤操作人员进行通信，这可能导致网络攻击行动可以完全控制关键的运输船只，这将吸引更广泛的攻击行动，并给入侵者带来更大的收益。

（四）电子海图显示与信息系统

许多学者对电子海图显示与信息系统相关的安全问题进行了深入研究。事实上，在电子海图显示与信息系统的软件中存在一系列缺陷。该系统通常运行在没有更新安全补丁的型号老旧的计算机上。这些地图是从网上下载的，或者通过USB接口手动导入系统的，在尝试更新地图时，可能会导致系统被攻击。U盘这种用于更新的媒介，可以给攻击者预留很大的发挥空间。《准备应对对船舶的网络攻击——电子海图显示和信息系统安全》的作者，对电子海图显示与信息系统的软件进行了深入研究，发现了多个安全漏洞，攻击者可以删除或重新安装系统文件，并注入恶意代码。因此，篡改后的传感器数据被发送给电子海图显示与信息系统，将影响导航系统正常工作，从而引发船舶碰撞事故。

（五）甚小孔径卫星通信终端

随着甚小孔径卫星通信终端在现代海运业中广泛应用，甚小孔径卫星通信终端构建的网络，在透明传输、公开性等方面需要改进，以应对安全威胁，特别是未经授权的接入和拦截。2014年，安全公司IOActive对来自不同厂商的几款甚小孔径卫星通信终端进行了测试，得出的结论是，由于它们传输的是明文，没有对个人信息进行身份校验，也没有数据加密、安全认证或验证手段，因此所有被测试的设备在操作层面都存在漏洞。由于安全防护薄弱，攻击者可以向设备发送虚假信号或恶意代码，以便禁用或破坏系统，从而危及船舶航行安全。真正的风险是，甚小孔径卫星通信终端的网络接口可以在互联网上找到对应的接入工具，如Shodan船舶跟踪器。这可能会泄露船舶有价值的敏感信息，如品牌名称、产品代码和其他可能用于网络攻击的数据。如果攻击者找到一个开放的甚小孔径卫星通信终端的接口，他们就可以篡改GPS的坐标数据和系统配置，也可以植入恶意代码，这使得其他黑客可能采取进一步的攻击行动，并可能获取关键的系统管理员权限。

（六）雷达

虽然阻断雷达探测信号比阻断卫星通联信号更难，但它们也存在容易受到网络攻击的干扰和分布式拒绝服务攻击（DDoS）的影响。在发生网络攻击的情况下，雷达可能提供的是虚假的周边物体位置信息。这种不正确的信息可能会导致船舶发生碰撞。需要注意的是，虽然雷达和电磁频谱中的其他电磁信号容易受到常规的噪声压制干扰或更高级的欺骗干扰影响，但实现相同效果的机理在不同系统之间差异很大。

（七）视频监控系统

视频监控系统（VSS）在各类现代船舶的船舶自身、货物和船员的安全保障中发挥着至关重要的作用。这些系统主要用于监控和跟踪船舶的关键操作，以及防范恐怖分子和海盗的袭击。然而，视频监控系统最近也被发现容易受到多种网络攻击，并且出现了一些安全问题。例如，现代船舶中使用的两种型号的监控摄像机容易受到缓冲区溢出漏洞的攻击。通过利用这一漏洞，研究人员能够跟踪被黑客攻击的摄像机，并重置密码。此外，该漏洞可能导致视频监控系统崩溃，或者更糟的是，为其他网络攻击行动提供了一个接入跳板。

（八）工业控制系统

大多数工业控制系统以独立于安全规范要求的方式设计架构和编写代码，其数据通常以明文方式传输。工业控制系统的组件安全，应由开发架构的供应商和维护安全的运营商，按照行业标准和最佳实践来共同配置。无论是哪种方式，往往会假设供应商或运营商对于组件中的错误未采取任何行动，从而遗留有许多关键缺陷，可供攻击者利用。工业控制系统的设计者和操作人员必须了解系统存在的局限性，以及其组件和协议中的弱点，因为这对船舶的安全至关重要。船舶的分布式信息网络，使这些控制系统能够相互通信。信息网络和网站之间的持续通信，支撑船舶实现了远程监控、故障排除和在线调试，同时还降低了现场维护成本，简化了数据采集和评估流程。其中一个主要的担忧是，操作人员和工程师经常为了工作方便和提升效率而忽视系统安全，这可能对整个航运业产生重大而深远的影响。这种行为是由工作人员为了节省时间图省事和规避安全政策监管导致的。

（九）网络信息系统

在海运业中，有多种网络用于传输由信息系统采集和处理的数据。这些网络包括船舶网络（SHIPNET）、安全网络（SAFENET）、C3I（指挥、控制、通信和情报）系统、RICE 10、船舶系统2000（SHIP system 2000）、智慧船舶（Smart SHIP）和全船计算环境（TSCE）等。这些网络在技术层面存在许多安全漏洞，因为信息网络之间通信链路的设计和配置很少关注身份验证和数据加密，从而导致接入互联网时，存在潜在的易受攻击和过时的系统。实际上，船载信息系统经常与陆上设施相连，增加了系统持续面临威胁的风险。财务压力、法律要求，以及远程监控和管理的需要，导致现代航运业对信息系统和网络连接的需求不断增加。然而，这些系统的广泛应用将增加安全团队必须防御的攻击面的规模，并增加额外的接入点，黑客可以利用这些接入点渗透进入船舶信息系统。因此，应该仔细研究和评估这些自动化系统中存在的漏洞。此外，船舶关键的控制网络和信息系统必须与其他接入互联网的系统相互隔离。

此外，随着海事部门建成复杂的互联网生态系统，提升工作人员网络安全意识和突发情况应对处置能力变得更具挑战性。海事部门未能树立良好的网络安全文化的现实，可能有利于任何想要通过网络攻入船舶及其控制系统，以窃取敏感信息或破坏船舶运营的攻击者。

七、参考文献：

原文始发于微信公众号（太空安全）：利用卫星系统漏洞攻击船舶系统案例