1
事件概述
昨天是数千台寻呼机爆炸,今天是四百台对讲机爆炸,明天又会是什么爆炸?
2024 年 9 月 17 日,当地时间下午 3 点 30 分左右,黎巴嫩和叙利亚部分地区几乎同时约 5000 台Gold Apollo品牌型号为“Rugged Pager AR924” 的寻呼机发生爆炸,造成 12 人死亡,约2800人受伤。
继17日传呼机爆炸事件后,当地时间9月18日下午,黎巴嫩多地再次发生通信设备爆炸事件。据黎巴嫩媒体报道,黎巴嫩首都贝鲁特南郊和该国南部、东部数个地区都传出爆炸声。发生爆炸的通信设备经确认为ICOM V82型对讲机,据称为日本制造。目前,对讲机爆炸事件已造成14人死亡、超过450人受伤。
短短两天时间,黎巴嫩相继出现寻呼机、对讲机爆炸事件引发全球关注,在事件爆发的第一时间,360数字安全集团高级威胁研究中心根据各方资料对这起事件进行了整理分析,发现这可能是全球首起通过网络空间的操作影响到物理空间的、针对通信设备的大规模定向物理攻击事件。
2
攻击分析
自去年10月7日新一轮巴以冲突爆发以来,黎巴嫩真主党领导人纳斯鲁拉曾警告称,以色列情报机构已侵入真主党手机网络。为避免被追踪,真主党成员普遍放弃智能手机,转而使用技术含量较低、更难被追踪的寻呼机、对讲机。
关于攻击者如何引爆寻呼机、对讲机的原因,官方并没有调查报告公布。业内专家猜测有两种可能性:一种是传呼机原装电池过热爆炸,另一种是传呼机电池上可能被放置了一定数量的高度爆炸性材料。
据路透社报道,一名黎巴嫩高级安全部门消息人士称,17日爆炸的这批设备被以色列相关机构“在生产层面”进行了修改,他们在装置内部植入了一块装有爆炸物的电路板,可以接收代码,当一条密码信息发送给这批设备时,它们会同时爆炸。另一名消息人士称,这些新购寻呼机内藏炸药至多3克,真主党人员几个月来毫无察觉。
实际上,无论哪种爆炸方式,都是攻击者成功实施大规模远程定向引爆的结果。通过向寻呼机、对讲机发射恶意无线信号或某种指令,攻击者可以针对大规模的通信设备进行远程定向控制达到任意破坏目的,无论是瘫痪通信还是引爆隐藏的炸弹。
在对型号“Rugged Pager AR924”的寻呼机进行深入分析后,360高级威胁研究中心发现了其涉及软件和硬件层面潜在的攻击路径。通过识别这些潜在的安全弱点,以防范未来可能出现的类似攻击。
软件攻击面
Rugged Pager AR924寻呼机支持使用专门的软件通过USB-C接口连接传呼机,快速地配置和修改设备,所以在电脑上大规模修改此款传呼机设备的软件系统并不是难事。
寻呼机的系统“解锁”使用默认密码 0000,USB软件编程解锁密码为AC5678,解锁后可以在硬件界面和官方软件辅助下对寻呼机功能进行自定义编程配置。
官方的编程接口可以详细设置设备的各项参数,如接收频率、报警设置、显示语言、警报音量等,专业的黑客不难进一步针对寻呼机的系统固件和软件进行全面的破解,植入后门进行控制并非难事。
硬件攻击面
Rugged Pager AR924寻呼机有内置但可更换的电池,因此攻击者在电池中放入爆炸性材料后进行替换是非常容易实施的。
通过公开资料,我们发现寻呼机电板背面三个调节电位器电容以及编程触点,这里可能涉及设备的工作参数调节,一般这些触点通常用于通过外部设备(如编程器或调试工具)对寻呼机进行硬件编程或调试。在某些特定情况下,如果电位器与电源部分相关联,调整它可能会改变电源电压或电流。
如果攻击者通过控制电流、电压或变相控制电池温度,理论上可以引爆电池中的敏感爆炸性材料。
3
事件思索
一位不愿透露姓名的接近真主党的消息人士说,“发生爆炸的寻呼机与真主党最近购入的1000台寻呼机有关”,且这些设备似乎“在源头就已遭到破坏”。
总部位于华盛顿的战略与国际研究中心(CSIS)国际安全项目副主任艾米丽·哈丁(Emily Harding)向《华盛顿邮报》表示,以色列情报部门很可能在真主党购得这批寻呼机之前,在某个供应链的环节截获了这些设备并安装了爆炸装置。
随着各方消息越来越丰富,摆在众人面前的“真相”直指“供应链攻击”。供应链攻击是从产品或服务的生产、维护、流通体系入手,寻找薄弱环节,实施攻击的一类方法。
360集团创始人周鸿祎曾就此问题谈到,供应链攻击可能影响数十万乃至上亿的产品用户,已经严重威胁企业的网络安全、信息安全和数据安全。对上游供应商发起的攻击,也将影响到下游产品厂商,尤其是涉及政府部门以及军工、电力、石油等关乎国家安全和国民经济命脉的关键领域,更将影响国家安全。供应链安全已成为世界各国数字化发展进程中关注的焦点。
潘多拉的魔盒一旦被打开,就很难再关上。未来所有智能设备的“软硬”边界更加模糊,基于供应链发起的大规模攻击或许将成为新的作战视角。
从安全角度出发,我国广大政企单位应该最大限度实现智能设备的供应链闭环。
\ | /
★
一方面,要减少对智能终端设备的核心技术和关键部件进口依赖,逐步提升各类终端设备的核心部件、关键系统以及终端安全软件的国产化应用。以此避免被植入后门或恶意程序等风险。
\ | /
★
另一方面,要积极检测、主动防护、快速响应。在软件采购与外包期间,对供应商提供的设施与服务(包括其使用的开源组件)提出安全检测及清单提供要求,并在软件设施投产前进行集中安全测试,在软件开发过程中,能够建立软件开发安全流程,将安全检测无缝集成在软件编码与测试环节;
在漏洞利用的远程控制环节、执行环节、内网横向移动环节等,加强网络与终端设备的主动安全防护。即使存在漏洞短期内无法修复,被黑客组织也无法攻击利用,为修复与清除争取时间;
在与供应链有关的软件漏洞被披露后,能够做出快速响应及处置。
目前,360数字安全集团针对供应链安全问题打造了一套解决方案,面向政企单位智能设备的供应商建立起集检测、防护、响应于一体的全流程安全服务,帮助其逐步建立供应链安全管理和防护体系,全面实现安全防线前移。
基于东半球最强安全专家团队,360还建立了完善的产品漏洞响应机制,包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户侧漏洞应急响应和修复支持等,帮助广大政企单位筑牢供应链安全防线!
4
总结
美国网络部队曾定义了赛博空间攻击能力(Cyberspace Capability),它指的是通过电子设备或计算机程序(包括软件、硬件或固件)在网络空间内实施操作,以在现实世界中产生破坏或控制效果的能力。这种能力不仅限于虚拟环境,还能通过网络空间的操作影响到物理空间,造成实际的物理损害或破坏。
此次事件是全球首起大规模针对通信设备的定向物理攻击,通过对通信设备进行定向的操控或破坏,充分展示了赛博空间攻击能力在物理层面的威力和潜在风险。与此同时,打破了以往网络攻击局限于数据泄露或系统瘫痪的传统概念,突显了网络安全威胁向现实世界扩展的严峻性。
往期推荐
| |||
| |||
| |||
|