一周遭遇两次重大攻击航运业缘何成优先攻击目标

航运业一周内遭遇两次重大网络攻击,四大航运巨头都已遭受到网络攻击影响,引发全球供应链中断担忧; 

过去三年来,针对航运行业的运营技术(OT)系统的网络攻击增加了900%,到今年年底,报告的网络攻击事件数量将达到创纪录的数量;

疫情感染、数字化依赖和利益诱惑等多重因素推动,对威胁应对迟缓的航运物流业已成为网络犯罪组织的优先攻击目标。

9月28日,全球第四大集装箱运输和海运公司——法国达飞 CMA CGM SA 信息系统遭受勒索软件攻击。达飞公司在中国上海、深圳和广州等办事处的服务已经中断。为防止恶意软件传播,达飞公司被迫关闭网络,采用手工操作和航运订舱平台INTTRA来处理订单。

就在3日后,联合国负责海上航行安全的专门机构——国际海事组织在10月1日宣称,其IT系统遭受高级网络攻击,导致其多项网络服务和官网无法使用。

近年来,针对航运物流企业的勒索软件攻击的数量和严重性激增。以色列网络安全公司Naval Dome报告称,自今年2月以来,针对航运业的袭击数量飙升了400%。过去三年来,针对航运行业的运营技术(OT)系统的网络攻击增加了900%,到今年年底,报告的网络攻击事件数量将达到创纪录的数量。

随着数字化的推进,在疫情和利益推动下,对网络威胁应对迟缓的航运物流业已成为网络犯罪组织的优先攻击目标。

 一周两次攻击  攻击影响广泛针对法国达飞公司的攻击使用了数据加密恶意软件Ragnar Locker。这与今年初攻击葡萄牙可再生能源公司EDP Renewables的恶意软件类似。在发给达飞公司的邮件中,黑客宣称“数据已经被加密,敏感数据可能被窃取”,并要求这家法国集装箱运输和海运公司在2日内通过“实时聊天软件”进行联系,为“数据解密的密钥支付费用”。在最初发给客户的公告中,达飞公司宣称,由于内部IT基础架构问题,其IT应用、以及官网(包括ANL和CNC两家下属机构)暂时无法使用。随后,达飞公司确认遭受到勒索软件的攻击。这家总部位于法国马赛的航运企业在邮件声明中宣称,公司可能遭遇了数据泄露,目前正在尽力评估泄露数量和影响,并逐步恢复网络连接,以缩短了预订和文档处理的时间。业内消息人士称,达飞公司在中国上海、深圳和广州等办事处的服务已经中断。根据英国著名航运媒体劳氏日报 (Lloydslist)的信息:“预订系统已经关闭。货物装载可能会受到影响。”根据法国海运咨询机构Alphaliner的数据,CMA CGM是全球五大集装箱运输企业之一。目前五家企业占据全球运能的65%。针对国际海事组织的攻击,并不是该联合国机构首次遭到的网络袭击,但这次的情况可能最严重。国际海事组织的一位高级官员表示:“该机构的网络安全系统曾经多次挫败此前对系统的攻击或限制了其影响。”“但这次应是所遇到的最严重攻击,其影响还处于评估阶段。”数年前,联合国在内部审计中发现IT系统处于“不可接受的风险水平”之后,自2012年开始加强所属机构的网络安全防护。在随后几年中,联合国部署了多个防护方案和开展系统升级,但下属机构的多数网站和应用直到2018年都未能达到要求的标准。两个攻击事件都带来了严重的破坏:《劳氏日报》报道,攻击造成的业务中断影响广泛,法国达飞公司的电商网站至少4天无法访问,国际海事组织的在线服务也中断多日。“目前还没有证据证明两者之间的联系,但正在考虑可能性。”但可以肯定的是,知名航运公司和权威行业组织都难以避免遭到网络攻击,解决航运业网络安全问题无疑已经到了刻不容缓的时刻。 勒索软件肆虐  航运物流业成优先攻击目标法国达飞公司遭受勒索软件攻击,这意味着自2017年以来,在过去四年中,全球四大航运巨头都已受到网络攻击的影响。对其他行业来说,航运企业的遭遇可能是绝无仅有的。目前,一连串网络攻击事件已经在困扰航运业。以色列网络安全公司Naval Dome报告称,自今年2月以来,针对航运业的袭击数量飙升了400%。过去三年来,针对海事行业的运营技术(OT)系统的网络攻击增加了900%,到今年年底,报告的事件数量将达到创纪录的数量。其中,2017年报告的重大OT攻击事件有50起,2018年增至120起,2019年超过310起,2020年将达到500起以上,其中还有更多大量未被报告的攻击事件。近年来,航运领域发生的重大安全事件包括:2020年9月,丹麦物流企业Blue Water Shipping遭到勒索软件攻击,导致数个系统被关闭。系统关闭造成业务短暂中断。该公司称,在外部专家帮助下,最终成功挫败攻击。2020年9月,加拿大接连有6家公司遭受勒索软件攻击,并且数据被窃取,其中包括了货运公司Manitoulin Transport,物流公司TFI International,物流公司Indian River Express、报关行Axxess International、Beler Holdings等。2020年9月,法国物流公司捷富凯(Gefco)宣称遭受到网络攻击,“攻击旨在扰乱我们的业务,但还不知道攻击来源。捷富凯已通知客户和合作伙伴,并“动员员工确定并实施替代流程,以确保业务连续性。公司没有透露哪些系统受到影响。捷富凯是欧洲领先的物流服务供应商,主营业务是货运代理和汽车物流服务,业务覆盖全球150个国家。2020年4月,瑞士跨国航运巨头地中海航运公司 (Mediterranean Shipping Company, MSC)遭遇未知恶意软件攻击,导致其官网及客户与供应商网站因公司数据中心网络中断而无法访问。2020年2月,澳大利亚综合物流供应商TOLL(拓领)因安全事件关闭IT系统。公司宣布,多站点和部门遭到勒索软件Mailto 或Kazkavkovkiz 的攻击,导致业务陷入停顿。该公司需要删除500个应用程序,以支持其在25个国家/地区的运营。2019年10月,全球航运和电子商务巨头必能宝(Pitney Bowes)遭受勒索软件攻击,公司客户访问、电子邮件服务等系统被破坏。专家认为黑客可能利用钓鱼邮件或未打补丁的软件,从而使勒索软件感染Pitney Bowes系统。全球150万用户,包括财富500企业,使用Pitney Bowes的邮寄设备公司。2018年7月,中远集团受到勒索软件攻击。中远集团称,勒索软件攻击超越其美国网络,蔓延到更广泛的美洲,包括阿根廷,巴西,加拿大,智利,巴拿马,秘鲁和乌拉圭,美洲的邮件、电话系统被迫切断。网络攻击导致其美洲业务中断长达数周。2017年6月,全球最大集装箱船和供应船运营商(丹麦)马士基遭受NotPetya勒索软件攻击,导致公司业务停摆数周、运量下降20%。4000台服务器、45000台电脑系统、2500个应用被迫重装。“严重的业务中断”给马士基造成的损失高达3亿美元(20亿人民币)。2017年6月,联邦快递旗下TNT快递遭受勒索病毒NotPetya网络攻击,欧洲分部在受到网络攻击后运营中断。联邦快递称,攻击对该公司财年造成大约3亿美元的损失。据悉,由于网络攻击导致包裹投递量下降以及应急计划带来了增量成本,而且对受影响的系统进行补救也产生了相关费用。

全球四大航运巨头都已遭受网络攻击这些网络攻击行动都不尽相同,但它们再次验证:航运物流行业已经成为勒索团体的优先攻击目标。网络安全公司Pen Test Partners的安全专家肯·芒罗(Ken Munro)表示:“目前还无法确定航运物流业的整体安全水平是否与其他行业不同,唯一能够确定的是,该行业已经成为勒索软件的重要攻击对象。”欧洲最大的保险公司德国安联集团在2019年的报告中,将网络安全定义为影响航运行业安全的第二大风险。

网络风险成为航运业第二大安全风险遭遇网络攻击的对象不限于航运机构的网站与内部IT系统,船舶、港口都已经成为网络攻击者的重要目标。2020年5月,伊朗沙希德·拉贾伊港口(Shahid Rajee)遭遇网络攻击。调节船舶、卡车、货物流通的计算机系统一度崩溃,致使该港口水路和道路运行发生严重混乱。通往港口的高速公路上出现长达数公里的交通拥堵,攻击还导致大量船舶数日无法入港卸载。2019年6月和7月,以色列的阿什杜德和海法港口因GPS篡改,导致起重机操作和对集装箱的定位工作被中断,卸货工作出现延误,给港内的商业活动带来负面干扰。2018年9月,西班牙巴塞罗那港上、美国圣地亚哥港相继遭遇网络攻击。针对巴塞罗那港的网络攻击没有影响船舶进出港口,仅有内部信息科技系统受到影响。圣地亚哥港遭遇勒索软件攻击,内部信息科技系统受创。2019年2月,一艘开往纽约港的轮船遭受恶意软件的攻击,破坏了轮船的网络,导致船上计算机系统的功能显著下降。幸运的轮船的控制系统没有受到影响。美国海岸警卫队的安全响应团队发现,轮船没有部署有效的网络安全措施。 多重因素加剧航运安全态势网络安全专家表示,新冠疫情的干扰、对数字服务依赖性的增加,未经培训人员进行的执行诊断,软件更新和补丁程序……这些可能是今年攻击事件激增的原因。网络安全公司Pen Test Partners安全专家肯·芒罗(Ken Munro)表示:“针对马士基的攻击事件显然引起了诈骗人员和网络罪犯的注意,他们意识到航运业面临极高的风险。对勒索软件运营商来说,对航运公司的定向网络攻击显然是有利可图的。”航运业无疑是网络攻击者的诱人目标。联合国贸易和发展会议(UNCTAD)发布的《2019年航运报告》显示,2019年全球商品贸易总额在19万亿美元左右,“从商品重量的维度计算,航运贸易量占全球贸易总量的90%;按商品价值的维度计算,则占贸易额的70%以上“,即19万亿美元中有13.3万亿美元的贸易,是通过航运实现的。在全球各国抗击新冠肺炎疫情的同时,航运船员正在尽力保持全球贸易顺畅。对航运企业的攻击所产生的后果不仅会对船舶造成灾难性后果,而且会对世界经济本身也会造成灾难性后果。除了诱人的利益,航运物流业的数字化也为攻击者创造新的机会。为了加快数字化转型,达飞公司正在全球范围内招聘最优秀的专家。在遭受攻击数日后,达飞任命了专门负责IT、数字化及战略转型的高管。目前,全球各地港口和航运公司逐步采用自动化或联网设备等技术,用于分析数据和改善服务。从电子平台到具有增强现实功能的高级分析,甚至是能够自动驾驶的船舶,新的数字趋势正在涌现。信息技术(IT)与运营技术(OT)的融合,以及与互联网的连接,扩大了网络攻击面,提升了网络安全防护要求。根据航运咨询公司HudsonAnalytix 2019年的调查,过去3年中,各类船舶的互联网连接量翻番或增长三倍。越来越多船舶安装了综合自动化系统(IAS),通过卫星连接互联网和其他数字网络与外界实现联通,未来船舶上将会提供更多数字化服务。在港口方面,英国港口协会已开始研究智能港口,部署更多的互联网连接和更多的数字解决方案。船舶、港口的智能化建设带来更广泛的互联网连接,为网络威胁打开了新的大门,将直接影响航运业的网络安全。此外,咨询机构普华永道在报告中指出,疫情爆发也迫使航运机构更加依赖数字系统开展业务。疫情带来的保持社交距离、边界关闭措施使OEM技术人员无法奔赴轮船、钻塔和港口,对关键的运营(OT)系统升级和服务,导致运营人员可以绕过既有的安全措施,给攻击创造了机会。由于预算消减和工程师的缺位,轮船和钻塔员工将OT系统与岸上网络连接,以进行检测和升级。这意味着IT与OT系统不再隔离,单个终端、关键系统和组建都可能遭遇攻击,其中的老旧系统因缺乏安全补丁,更容易遭遇网络攻击。 航运业的网络安全盲点通常被认为安全意识较强的航运业在网络安全方面却存在盲点。与积极推进的数字化相比,航运相关机构还没有为已经到来的攻击做好准备。在数字化过程中,网络安全防御措施未及时部署到位,给黑客创造了可以利用的漏洞。在达飞和国际海事组织遭到攻击后,美国财政部海外资产控制办公室(OFAC)警告称,航运业正越来越多地遭到有针对性的网络攻击,但航运业似乎对网络安全的警告反应迟缓,这将可能造成严重的经济损失和信任危机。早在数年前,安全专家就已经提醒关注针对全球航运业的网络攻击。2014年,国际海事局警告称,全球运输和供应链可能会成为“黑客的下一个乐园”,并呼吁航运机构对网络攻击威胁的增长保持警惕。知名咨询机构毕马威(KPMG)甚至将黑客称为公海的新海盗。更具有讽刺意味的是,根据安全人员利用开源情报工具的分析,国际海事组网站使用的是存在安全漏洞的老版本微软SharePoint。目前国际海事组织正在准备新的网络安全指南(IMO2021),该指南要求船东在今年年底之前加强数字安全措施,包括风险识别,风险检测,资产保护,风险应对以及攻击恢复等。根据国际海事组织的网络安全指南要求,航运公司需要实施各项政策保护船舶不受网络攻击。最大的弱点之一就是人为操作,相关的培训和行为准则非常重要。但现实情况却令人担忧。据统计,2015年,只有12%的航运人员接受了网络安全培训。波罗的海国际航运公会(Bimco)2017年的报告显示,只有47%的航运机组人员了解网络安全政策或网络卫生准则。随后几年中,这一数字略有改善,但远远落后于目标。与日益增长的威胁相比,网络安全培训作为优先事项的目标仍然苍白。国际海事组织认为这些新规则至关重要,但大多数网络安全专家一直就此问题向国际海事组织(IMO)警告:IMO 2021的安全要求还远远不够。此外,对于航运公司而言,寻找和雇用具有复杂海事技术和工业设备知识的网络安全专家是一项挑战。世界各地的企业都在努力填补网络安全的工作空缺,在诸如海上作业等专业工业领域,找到适合专家的挑战更大。 网络攻击不再是IT问题约一半的航运企业仍认为网络安全主要是IT问题,但越来越多的企业意识到网络安全对运营或控制系统的有潜在影响:网络攻击不仅针对数据,还针对船舶和港口,网络中包含了很多的物理要素。遭受网络攻击,不仅会令数据丢失,甚至将引发物理后果:船舶搁浅、碰撞,货物被劫持,甚至船员丧命,以及船载有害物质对环境造成严重影响。对于那些仍在等待季节性周期恢复正常的航运公司来说,最近的网络攻击可能会令形势更加糟糕。物流专家表示,目前暂时并不能肯定,最近网络攻击究竟只是对全球贸易构成暂时的麻烦,还是会造成更大范围的破坏。但“网络威胁在短期内肯定会带来不利影响。”航运咨询公司HudsonAnalytix确认了船舶生态系统到20个子组件。由于港口运营参与方众多,港口生态系统则具有更高的复杂性。欧盟发布的《航运行业网络安全最佳实践》中,大型港口拥有高达900个相关利益相关方。航运业的相关系统分为IT与运营系统,其中IT 包括办公室、港口和石油钻机的系统,OT 则涵盖更多种类,包括动力控制及相关系统、货物管理系统、导航系统、管理系统等。安全专家认为驾驶台系统、货物装卸系统、动力控制系统以及防护不佳的岸基系统将会易于受到网络攻击的影响。1、岸基IT系统攻击安全专家认为,真正产生严重危害的仍然是面向办公室、营业厅乃至数据中心等岸基系统的攻击活动。这些系统主要负责人员管理、电子邮件收发、船舶管理以及集装箱预订等事务。与其他行业内的其他IT系统相比,海事部门所使用的方案并没有什么特殊的区别。罕见的船舶黑客攻击事件会成为头条新闻,但对船运公司岸基系统的攻击更为普遍,也是目前影响最大的攻击,被视为 “影响全球供应链”的最佳机会,尤其是对其集装箱预订应用攻击的影响非常严重。这些系统经常遭受海盗组织的攻击,他们首先针对岸基系统检索货运单、集装箱ID编号以及选定的航线,并据此组织攻击以登船劫掠电子产品及珠宝等高价值货柜。“网络海盗”的攻击浪潮、四大航运巨头的沦陷表明,航运行业应当更多将注意力集中在对岸基系统的保护上。2、轮船IT系统攻击过去一年来,针对船舶的恶意软件攻击数量开始激增,船载IT系统先后遭到勒索软件、USB恶意软件乃至蠕虫病毒的轮番轰炸。对于轮船IT系统的最大网络安全威胁之一是船上Windows设置不佳Windows安全漏洞众多,再加上缺乏维护,或者缺乏补丁管理,配置错误......都会使计算机很容易受到攻击。现在,船舶配备了全套电子导航,命令和控制系统,可通过卫星与全球互联网互连。卫星通信终端很容易被黑客入侵。所有这一切,加上船员对互联网的访问,都意味着船舶在联网和自动化系统的作用下,其尤容易受到内部和外部的攻击。3、运营(OT)系统近年来,与航运行业有关的攻击方式已从传统的IT系统扩展到OT攻击面。这是因为传统上OT设备在构建时(现在依然如此)考虑了易用性性和功能性,但却对安全性重视不足。与IT基础设施不同,操作人员无法了解OT系统的连接运行状况。操作人员很少知道是否发生了攻击,总是将异常记录为系统错误、系统故障或要求重新启动。航运的主要OT系统包括船舶综合导航系统(VINS)、全球定位系统(GPS)、卫星通信系统、船舶自动识别系统 (AIS)、雷达系统和电子海图等。目前某些船上设备仍在运行Windows XP和Windows NT系统,存在较大的安全风险。4、GPS干扰事件频发除了对计算机系统的依赖,船舶本身也越来越多地受到全球定位系统(GPS)等电子导航设备的干扰,这类系统很容易受到黑客故意干扰而导致信号丢失。准确的位置、速度和航向对确保航行安全至关重要。船舶在靠近海岸的地方航行或在港口出发或到达时,精确的位置信息尤为重要。干扰导致GPS信号丢失或不准确,影响了船舶的导航和通信设备。据海上安全情报机构Drayad Global报道,近几个月来,越来越多船舶报告了GPS收到严重干扰的事件。多个有相关事件报道的地理区域包括地中海东部和中部、波斯湾以及多个中国港。2020年9月24日,美国交通部海事管理顾问部(MARAD)发布警报,涵盖了全球范围内海事领域报告的多起重大GPS干扰事件。此外,与其他行业相比,航运业还有一个特殊的地方,那就是中间环节众多。活跃在全球各地的货运代理企业,其IT系统无法与航运巨头相比,成为供应链安全中的薄弱环节,直接威胁到航运企业的网络安全。 应对策略航运业监管机构国际海事组织(IMO)十分重视行业的网络威胁。2017年6月,IMO海事安全委员会通过了关于安全管理系统中海事网络风险管理的MSC.428(98)号决议。这项将于2021年1月1日实施的决议引入了监管措施,“以确保现有安全管理系统(如国际安全管理(ISM)法规中定义)解决了网络风险”。  欧盟发布的《通用数据保护条例》则适用于包括航运公司在内的所有商业公司。该条例要求航运企业更加积极地进行网络安全防护。这表明,业界和监管机构已经日益认识到航运网络攻击的危害与严重性,正推动网络安全防护相关的投资。这些相关法规、指令或准则具有保护航运业的作用,但遵守法规不等于进行有效的安全风险管理。航运企业应该将法规和准则视为解决安全问题的基石,以及进一步开展网络安全保护的起点。业界安全专家认为,航运机构需要采取以下措施进行应对。1、践行内生安全理念,实现数字化与安全建设同步实现安全的最好办法是通过设计提升网络安全。在推进数字化过程中,航运机构需要从一开始就考虑网络安全。让网络安全成为智能港口、自动驾驶船舶的一部分。2、采用主动防护措施,增加网络攻击难度维持网络安全不仅是IT问题,应该成为航运业的基本要求。航运企业需要开展网络安全评估与资产筛查,了解和修复自身系统漏洞;主动监测Web与电子邮件域的滥用情况;开展安全事件的信息分享;部署必要的安全防护设备。这些措施将提升网络攻击的难度。3、制定可靠的应急响应计划,及时消除攻击影响无论航运机构的安全防御能力如何,都存在可能被入侵的安全风险。就像船舶必须有消防计划一样,航运机构也必须制定可靠的安全应急计划,并引入第三方安全响应团队,确保能够及时消除和降低网络攻击的影响。4、开展有效的安全培训,提升员工安全意识目前,航运业网络安全中最薄弱的环节是人为因素。航运企业应该通过给予员工适当的网络安全意识培训,帮助其识别和报告网络攻击事件。网络安全培训应该根据工作环境完全不同,对陆上员工和船员提供针对性的培训。

参考文章

https://mp.weixin.qq.com/s/ce-RTsPSqFj8qfnDy2vmEQ

https://mp.weixin.qq.com/s/nqCcTyjIW-2rtWqMBOJRTQ

https://www.sohu.com/a/312418913_175033

https://gcaptain.com/imo-cyberattack-has-serious-implications/

http://w.m.sohu.com/a/423127435_175033

原文来源:虎符智库