澳航发生大规模数据泄漏，航空业成网络攻击热门目标

7月初，澳大利亚航空巨头澳洲航空（Qantas）证实，一起大规模网络攻击导致其数百万客户敏感信息泄漏。这起安全事件不仅暴露了航空业网络安全的脆弱性，同时也标志着航空业正在成为勒索软件攻击的热门目标。

根据澳洲航空7月1日晚发布的新闻稿，该公司在当天检测到“位于第三方客户服务平台上的异常活动”，并随即切断该平台访问，防止进一步数据外泄。该平台为澳洲航空电话客服中心提供服务，存储了多达600万名客户的服务记录。

澳洲航空初步调查显示，被窃取的数据可能包括客户的姓名、电子邮件、电话号码、出生日期及常旅客会员号，但没有发现信用卡、账户密码或PIN码信息外泄的证据。澳洲航空已将事件上报澳大利亚网络安全中心（ACSC）、澳大利亚信息专员办公室（OAIC）以及联邦警察局，并表示正持续调查事件规模。

但澳洲航空并未透露是否聘请外部网络安全专家协助，也未说明该第三方平台是否符合澳大利亚《隐私法》对数据存储和保护的合规要求。

这起事件恰逢安全公司近日发布警报，称以Scattered Spider（又名0ktapus、UNC3944、Muddled Libra等）为首的勒索软件组织，近期开始集中火力攻击航空及交通运输行业。据BleepingComputer调查，针对澳洲航空的攻击在手法上与Scattered Spider对夏威夷航空和西捷航空的攻击有诸多相似之处。

今年6月，在西捷航空的攻击中，黑客利用自助密码重置漏洞获取了员工账号权限，进而入侵内部网络；而2023年该团伙对MGM Resorts的攻击中，他们先是通过假冒员工实施社工，随后利用BlackCat勒索软件对超过100台VMware ESXi服务器进行了加密勒索。

Scattered Spider的常用技术手段包括钓鱼邮件、SIM卡调换、MFA炸弹攻击（通过密集多因子认证请求扰乱员工）以及冒充IT服务台电话等，这些伎俩在航空业高压力、分布式、跨时区的客服和运维环境中尤其容易得手。

据Google威胁情报组（GTIG）和Palo Alto Networks近期联合发布的指导文件（链接在文末）显示，该组织当前正采用“按行业分阶段推进”的策略：2022-2023年重点针对金融和保险业，2024年转向零售、电商和数字货币平台，而进入2025年后，航空业显然已成为其新目标。

多项分析指出，航空公司的独特生态使其成为勒索攻击者的理想猎物：

• 超大规模用户数据：航空公司常年积累的常旅客信息、出行偏好和身份数据极具黑市价值。 

• 复杂的第三方供应链：电话客服、地勤服务、行李处理等大量外包，增加安全盲区。

• 业务连续性要求极高：航空业的运行对时间和系统可用性高度敏感，一旦被勒索或中断，可能迅速演变为全国性甚至全球性航班延误与混乱，给攻击者提供巨大的勒索筹码。

• 行业合规压力：航空公司常需要同时满足多个国家和地区的安全及隐私法规，在合规压力下常选择“快速私了”，为黑客提供了获利空间。

业内专家呼吁航空公司首先要从基础建设着手，做到对整个身份体系、关键管理服务、IT及OT系统的全栈可见性，并重点强化以下方面：

• 封堵自助密码重置、帮助台系统等易被社工利用的弱点。

• 对接入的第三方服务商执行严格的安全评估和合规审计。

• 在关键身份管理和访问控制环节引入零信任架构，减少凭证被盗后的横向移动风险。

此外，航空公司管理者应参考GTIG和Palo Alto最新发布的Scattered Spider应对指南，从钓鱼邮件识别、MFA强化、员工安全意识培训等多方面入手构建多层防御。

从过去一年Scattered Spider对零售、保险、娱乐业的接连攻击来看，他们并不会轻易放弃有利可图的领域。研究人员警告，即使航空业的安全措施得到提升，接下来零售、金融科技、物流等高价值数据行业仍可能是下一个爆发点。

正如安全公司Mandiant在对Scattered Spider的2025年战术评估中所指出的：“他们的核心竞争力在于快速切换目标行业，并在不同攻击场景中重用相同的社会工程与身份攻击技巧。只要没有彻底堵住这些环节，勒索潮只会一波接一波。”

参考链接：

• https://cloud.google.com/blog/topics/threat-intelligence/unc3944-proactive-hardening-recommendations?e=48754805

• https://unit42.paloaltonetworks.com/muddled-libra/

• https://www.bleepingcomputer.com/news/security/scattered-spider-hackers-shift-focus-to-aviation-transportation-firms/