摘要：伊朗国家油轮公司 (NITC) 和伊朗伊斯兰共和国航运公司 (IRISL) 是两家受到制裁的公司，它们运营着 64 艘船只、39 艘油轮和 25 艘货船，这些船只在黑客组织 Lab-Dookhtegan 针对伊朗海上基础设施发动的定向攻击中遭到入侵。

伊朗国家油轮公司 (NITC) 和伊朗伊斯兰共和国航运公司 (IRISL) 是两家受到制裁的公司，它们运营着 64 艘船只、39 艘油轮和 25 艘货船，这些船只在黑客组织 Lab-Dookhtegan 针对伊朗海上基础设施发动的定向攻击中遭到入侵。

攻击者并没有试图直接攻击分散在全球各地、带来重大后勤挑战的单艘船只，而是渗透进负责整个舰队卫星通信的伊朗 IT 供应商 Fanava 集团。

该组织分享的证据显示，在运行过时的 iDirect 卫星软件（具体来说是 2.6.35 版本）的Linux 终端上存在 root 级访问权限，该内核因大量未修补的漏洞而闻名，包括可能有助于提升权限的潜在远程代码执行缺陷。

MySQL 实例的数据库转储揭示了舰队通信基础设施的全面映射，查询提取了详细记录，例如调制解调器序列号、网络 ID 以及 Touska、Mahnam 和 Zardis 等船只的特定配置。

船舶调制解调器序列号

入侵活动使黑客能够系统地瞄准 Falcon 软件（维护卫星链路的关键组件），从而有效地切断电子邮件、天气数据和端口协调功能。

从 5 月和 6 月的电子邮件日志和“节点故障通知”警报中可以明显看出，此次行动的持续性表明 Lab-Dookhtegan 在 3 月份袭击 116 艘船只后至少保持了五个月的秘密访问。

据报道，延长驻扎时间是为了进行侦察、测试控制机制以及为 8 月份的进攻做准备。

技术证据显示，破坏性命令的执行，例如“dd if=/dev/zero of=/dev/mmcblk0p1 bs=1M”，该命令用零覆盖了多个存储分区，包括导航日志、消息档案、系统配置和恢复扇区，导致终端在没有物理干预的情况下无法恢复。

这种方法类似于擦除器恶意软件策略，确保无法进行远程恢复，迫使船员寻求基于港口的硬件更换和完整的软件重新安装，可能导致船只停运数周或数月。

雪上加霜的是，攻击者窃取了 IP 电话系统配置，包括“1402@Argo”和“1406@Diamond”等明文密码，以及电话号码和 IP 地址，为窃听、冒充或进一步破坏语音通信开辟了途径。

此次袭击的时间和精确度与不断升级的地缘政治压力相吻合，恰逢美国财政部对参与伊朗石油贸易的 13 家实体实施制裁，这与该组织此前与美国对也门胡塞武装的行动相呼应。

NITC 和 IRISL 在伊朗逃避制裁的战略中发挥着关键作用，现在它们面临着灾难性的运营瘫痪。

由于缺乏功能正常的卫星终端，这些船只无法可靠航行、协调运送或发出求救信号，从而加剧了印度洋等交通繁忙地区航行的风险。

此次漏洞利用了遗留系统中固有的弱点，凸显关键基础设施中未修补软件的危险，由于其可利用性和对可用性的影响，iDirect 漏洞的 CVSS 评分可能超过 9.0。

Lab-Dookhtegan 的证据（包括袭击开始时的船只位置图像）强调了其蓄意策略，目的是造成最大限度的经济损失，而不仅仅是造成混乱。

详细技术报告：

来源：会杀毒的单反狗