注意！不法分子利用“冠状病毒”疫情攻击航运外贸行业！

2020年，一场突如其来的新冠肺炎疫情打破了开年的平静，全民陷入漫长的抗疫鏖战之中;而就在疫情出现向好拐点态势之时，打着“新冠病毒”旗号的木马再次肆虐网络。

近日，360安全大脑就全球首家拦截到以“冠状病毒”为主题钓鱼活动，该活动瞄准大型航运公司，定向扩散商业间谍木马“HawkEye Keylogger 10.0”，并对受害者进行监控及回传多种有价值的私密数据。

经360安全大脑溯源分析发现，该商业间谍木马“HawkEye Keylogger 10.0”又称鹰眼键盘记录器，国内外已有大批航运企业不幸感染，且该木马正向国际贸易领域快速扩散。针对此类商业间谍攻击，360安全卫士已首家支持对该木马的拦截，广大用户可及时下载安装360安全卫士进行拦截查杀。

疫情之下钓鱼邮件趁火打劫“鹰眼”间谍木马借office漏洞泛滥

从360安全大脑监测数据来看，危及大批航运企业的最新商业间谍木马“HawkEye Keylogger 10.0”，主要利用钓鱼邮件的方式传播扩散。

不法分子通过邮件将暗藏恶意代码的表格文档“CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm”发送至目标人群邮箱。

而翻译成中文即为“冠状病毒影响船员和轮船航运”的文档极具诱导性。而当受害者打开恶意文档，界面会显示一个带有安全警告的宏禁用提示，再一次诱导用户点击运行。

值得一提的，即使用户拒绝启用宏，不法分子仍会通过经典的office公式编辑器漏洞(CVE-2017-11882)，让文档携带的恶意代码在目标电脑中自动运行。

成功运行后下载解密木马核心模块“HawkEyeKeylogger”，并根据资源中的加密配置，将信息回传给远程ESMTP服务器，具体地址为“mail.novaa-ship.com”，而发送邮件所使用的账号则为“armani@novaa-ship.com”(阿玛尼)。

回传信息也就是木马所窃数据，具体包括目标电脑上的账号密码、键盘记录、屏幕截图、摄像头、剪切板等，而上述信息不管是对个人还是中招企业来说，都可能造成极大的安全隐患。

仿冒航运巨头企业域名不法团伙借商业间谍木马谋利

疫情之下木马趁虚作乱，而经360安全大脑研判，HawkEye Keylogger木马不仅是一款久经迭代的商业键盘记录器，网上甚至能找到公开销售该木马的主页。

同时从360安全大脑追踪数据来看，目前市面上传播的多为“HKRv9”版，此次360安全大脑首家捕获的样本，其配置资源中标注的则是10.0，也就是说捕获版本极可能是该木马的最新版本。

与此同时，360安全大脑在分析钓鱼文件名及其配置资源中发现，钓鱼域名重点仿冒新加坡Nova集团船运公司官方域名，通过在“nova”域名后增加字母 “a”的方式迷惑目标，由此可推断此次攻击主要针对的是航运贸易行业。

随后，360安全大脑根据木马配置中使用的回传邮箱账号，进一步找到该邮箱服务器的一个后台，该邮箱数据虽显示为空，但通过邮箱转发规则锁定了不法分子转移数据的接收者邮箱。原来，不法分子为躲避追踪，对窃取数据进行了二次转移，360安全大脑发现了如下3个转移数据接收者邮箱。

拦截邮箱后，360安全大脑捕获到了不法分子从受害者电脑陆续回传的数据，正如360安全大脑分析的那样，涉及了受害者多种私密账号密码和全部键盘记录等内容，并且在一受害者所被窃取的键盘输入数据中，发现受害者的office办公软件中涉及 “船务代理”等商业信息，悉数被木马回传至不法分子服务器，这无疑将危及企业商业运营。

最后，在追踪到不法分子邮箱服务器后台后，360安全大脑发现此次商业窃密木马为团伙作案，并从追踪到的通信地址信息来看，该团伙有着明确的业务分工体系。

染指航运后蔓延贸易领域360安全大脑全球首家拦截查杀

相较于不法分子的单独作案，商业间谍木马的团伙作案方式意味着更高的威胁。360安全大脑根据C&C域名溯源同类样本后也印证了这一点，目前此次商业间谍木马钓鱼活动不仅殃及航运业，且正快速向国际贸易领域扩散。

360安全专家通过whois查询通讯录邮箱域名时发现，全球范围内发生的多起同类事件均为同一个匿名实体注册，通过隐私保护设置与DNS解析地址也进一步确认，多起事件均出自同一团伙之手。

值得一提的是，在间谍木马之外，360安全大脑还在邮箱服务器中，发现了与知名间谍木马“AgentTesla”存在关联的邮箱(“ViFeki3@yandex.com”)，结合两款木马的性质、攻击手法等特征，推断二者之间具有一定的相关性和同源性。也就是说，此轮借新冠肺炎疫情的钓鱼活动，不仅是团伙作案，还极可能存在多个间谍木马同时扩散的情况。

在当前这个阻击新冠肺炎疫情的攻坚期，不法分子借势扩散网络病毒，不仅利用了个人及企业对疫情的关注度，更为企业“远程办公”埋下了随时暴雷的安全隐患。

360安全大脑作为能实现网络安全防御智能升级的雷达系统，依托250亿+恶意样本、22万亿安全日志、80亿条域名信息、2EB以上的安全大数据，持续各领域企业及个人用户输出安全保护力。针对此次借疫情扩散的商业间谍木马，360安全大脑不仅第一时间查杀拦截的同时，为避免这类攻击态势再度蔓延，360安全大脑建议广大用户做好以下防护措施，保护抗疫期间的电脑及财产安全：1、及时前往weishi.360.cn，下载安装360安全卫士，强力查杀此类病毒木马;2、提高安全意识，不随意点击来源不明的邮件、文档、链接等，并及时为操作系统和office、IE、Flash等常用软件打好补丁。3、定期检测系统和软件中的安全漏洞，及时打上补丁。

来源： 360安全卫士

延伸阅读：

船舶网络安全与风险管理*

随着信息技术的发展，船上计算机的配备与应 用越来越广，各种先进的航海设备不断出现，船舶操作与管理也逐步向着数字化、网络化发展。技术的发展带来明显的收益，同时也将网络风险引入航海业。2017年国际海事组织通过了标题为“安全管理系统之海上网络风险管理”的MSC.428 ( 98 ) 号决议，鼓励管理公司建立船舶网络风险管理体系，并将其纳入船舶安全管理体系。

一、船舶网络系统的现状

目前船上配备的计算机等网络和信息设备非常 多。使用电子邮件系统的通信计算机和用做货物配载仪的装载计算机最早出现在船舶上。伴随着ISM规则的实施，大量用来制作文件报表的办公计算机、运行各种计划维护系统和船舶管理系统软件的 计算机出现在船上，部分船舶还配备了培训专用计算机。还有近年出现了申请电子海图的专用计算机和电子航海出版物专用计算机等。船上计算机的应用涵盖通信、货运、船舶管理、维护保养、航线设计、培训等各个方面。除此之外，大多数船员还会携带私人计算机上船以作娱乐消遣之用。

在船上计算机数量并不多时，这些计算机基本都是脱网单机运行，只有电子邮件系统专用的通信计算机可以对外连接网络收发邮件。随着船上计算机数量的增加，很多船东或管理公司为船上计算机组建了局域网，可以实现船舶内部各计算机的连接，以方便各电脑之间文件的传输，不过只局限于船上各办公用计算机。

随着技术的发展，为方便船员与家人联系，丰富船员海上生活，部分船舶通过Inmarsat、VSAT或铱星等卫星网络实现对外连接，并作为福利开放给所有船员使用，所有私人手机、计算机均可实现互联网连接。当前，船舶计算机已由脱网单机运行发展到局域网连接，并进一步发展到互联网连接。

除了普通计算机和互联网连接外，船上还有一些设备需要对外交换或接收数据以实现其功能，比如GPS或北斗等卫星定位系统，需要来自外部的卫星网络信号实现其定位功能。再如AIS在船与船之间交互发送和接收信息，以相互识别。而GPS或AIS接收到的外来数据信息，又通过数据线传递到雷达或电子海图等设备，供船舶定位导航或辅助避让使用。虽然这些设备并不连接互联网，但也通过专用的网络实现外部数据接收与交换。

二、船舶面临的网络威胁

1.船舶网络威胁已成为现实

随着信息技术的发展，船舶数字化进展迅速， 船舶操作与管理也逐步涉入网络风险之中，船舶网络威胁已成为现实。2017年2月，一艘8 250 TEU集装箱船在从塞浦路斯驶往吉布提的途中，遭到黑客的袭击。突然之间船长不能对船舶进行控制，黑客控制了该船的导航系统，意图将该船引至易登船控制的区域，船员试图重新控制船舶未果。后经船东紧急派出IT专家进行对抗后才夺回该船的控制权。整个黑客袭击控制过程持续了大约10个小时。 [1] 袭击过程中，该船全部IT系统均被黑客所控制，然而黑客究竟采取的何种手段实施该次袭击却仍然不得而知。船舶面对网络威胁的脆弱性，船员对抗网络攻击的无能为力，值得航运业界警醒。

2.船舶可能遭受的网络风险

船舶网络风险是指船舶技术资产受到潜在的网 络环境或事件威胁，信息或网络遭到破坏、损失、陷入危险，可能导致航运相关的操作、安全或保安的失败程度的估量。

船舶上可能遭受网络环境或事件威胁的设备分 为信息技术 ( IT ) 系统和操作技术 ( OT ) 系统。信息技术系统将数据作为信息使用，操作技术系统则通过数据来操控或监控物理过程。

目前船上应用的各种计算机，包括电子邮件系 统计算机、配载仪计算机、电子航海出版物计算机、PMS计算机、CBT计算机或各办公计算机等，主要将数据作为信息使用，属信息技术系统，可能遭遇的网络风险为信息被窃取、数据被篡改或破坏以及被敲诈勒索等，造成的后果主要以财产损失为主。

而GPS、AIS及与其相关联的雷达、电子海 图、VDR等设备则用于监控船舶运动，为操作技术系统，攻击者可通过伪造的数据信号来欺骗诱导船舶，可造成碰撞、搁浅、环境污染等严重事故，应对不当可导致船舶灭失、人员伤亡的后果。

随着自主水面船舶技术的发展，将来可出现远 程遥控船舶。船舶的远程遥控系统属于控制技术系统，攻击者可能通过网络控制甚至劫持船舶，构成保安事件。

三、船舶网络使用中存在的问题

由于船舶环境的特殊性，船员使用船舶网络的 方式和习惯与陆地上人员的习惯也有所不同。

1.计算机密码安全性较低

对于处于驾驶台、集控室、办公室等场所的计 算机，由于涉及多人使用，这些计算机的密码设置通常比较简单，甚至可能不设置密码。而位于船长、轮机长办公室的计算机，基本仅供船长或轮机长使用，计算机很可能不设置密码，即使设置通常也很简单。由于船员会定期更换，为防止密码遗忘，一些常用的船舶数据，比如IMO编号，设置为计算机密码的频度相当高，也相对比较容易被猜出。虽然船员设置密码的习惯较差，但是由于ISPS规则的实施，船舶对进出船舶生活区及办公场所的外来人员均有监控，外来人员进入生活区或办公场所时均有船员陪同，所以外来人员使用船舶计算机的概率很低，这也是船舶计算机密码设置简单的一个原因。

2.计算机杀毒软件病毒数据库更新滞后

对于众多的只有电子邮件系统可以对外联网的船舶，船舶计算机几乎是处于脱网状态，而目前市面上的杀毒软件大多要求在线升级，船舶自身不具备离线升级的条件，需要岸基的支持。目前有些公司会定期发送升级文件给船上，但也有大量公司意识不到这个问题。而对于可通过Inmarsat、VSAT或铱星等卫星网络联网的计算机，由于卫星网络费用较高，船员也未必会使用分配给自己的流量去更新杀毒软件的病毒数据库。

3.各种软件版本较低

与杀毒软件的问题类似，各种软件得不到升级更新，系统漏洞得不到修补，甚至Windows XP这种官方已经不再维护的操作系统仍然应用于现今的船舶上。在使用国际漫游网络或卫星网络联网时，船员常常会关闭手机软件的更新以节约流量

4.存储媒介的使用控制不当

虽然船舶内部局域网络的设置已经大幅减少了闪存等存储媒介的使用，但仍然有代理或水尺计量等第三方检验人员等外来人员由于并未携带打印机登船，经常会要求使用船上打印机，这时船舶计算机不可避免地会接触到外来存储媒介，增大了感染病毒的概率。

5.船员网络相关知识匮乏

目前船员接受的计算机及网络知识普遍不足， 本科院校毕业生通常会接受一些计算机的基础知识，但专业性不足，部分新毕业的专科院校学生甚至连基本的计算机系统软件与办公软件应用技能都没有，而老船员的计算机及网络知识也跟不上技术 的发展。只有极少数对计算机网络有兴趣的船员，通过自学了解部分知识。

6.船员对航海仪器的依赖性

随着技术的进步，各种航海仪器越来越先进， 船员对航海仪器的依赖性也越来越强。目前船舶驾驶台各种航海仪器已实现了相互之间的数据连通，一个设备的数据出现问题将导致多个设备受到牵连。特别是电子海图取代纸质海图后，GPS和AIS 信息更加直观地体现在电子海图上，一些传统的定位导航方法已经逐步被忽视遗忘。

上述船员的无意行为反映出船员网络风险意识的不足，也揭露了船舶面对网络风险的脆弱性。

四、相关国际组织通过的决议和通函

1.IMO通过的决议和通函

目前航运业界已认识到船舶数字化、网络化可 能招致的风险，船舶网络安全议题在近几年的国际海事组织 ( IMO ) 的会议上引起广泛的讨论。IMO于2016年6月发布了MSC.1/Circ.1526《海事网络风险管理暂行导则》。

考虑到关于威胁与脆弱性的网络风险意识亟待 提高的迫切需要，IMO在2017年6月召开的MSC第98届大会上通过了MSC.428 ( 98 ) “安全管理系统之海上网络风险管理”决议，确认应将“船舶网络风险管理”纳入“船舶安全管理体系”考虑之列，鼓励各主管机关确保在2021年1月1日后对各管理公司“符合证明”的第一次年度审核时，将《网络风险》相关内容纳入船舶安全管理体系。[2] 2017年7月IMO通过了正式的MSC-FAL.1/Circ.3《海事网络风险管理导则》，对海事网络风险管理提供了指导。

2.《海事网络风险管理导则》的内容

IMO发布的《海事网络风险管理导则》为海事 网络风险管理提出了高水准的建议，为海运应对当前紧迫的网络危险与脆弱性提供保障。导则介绍了有关海事网络风险的相关基本概念，指出了船上易受攻击的各级主要系统，提出了针对管理的要求，并指出了建立有效网络风险管理的几个功能要素 [3] ：

( 1 ) 识别。定义人员角色与职责。清点可能 招致网络攻击的船舶设备，区分信息技术系统与操作技术系统，识别其中可能干扰船舶操作、引发风险的系统、设备和数据。

( 2 ) 防护。加强日常的网络安全管理，减少 船员无意行为造成的薄弱性，降低网络事件的发生概率，达到预防网络风险的目的。

( 3 ) 检测。建立检测程序，及时探测到网络 事件的发生。

( 4 ) 反应。建立网络风险应急方案，应对船 舶网络安全事件。

( 5 ) 恢复。定期备份。网络事件结束后对损 毁的数据进行恢复。

3.国际航运组织关于船舶网络风险的指导

2016年，波罗的海航运公会 ( BIMCO )、国际 邮轮协会 ( CLIA )、国际航运公会 ( ICS )、国际干散货船独立船东协会 ( INTERCARGO )、国际液货船独立船东协会 ( INTERTANKO ) 等国际航运组织联合发布了《船上网络安全导则》，目前已更新至第3版。

《船上网络安全导则》依照IMO的决议与通函，介绍了网络安全管理的相关基本知识，并为识别威胁、识别脆弱点、风险评估、防护与侦查措施、建立事故反应计划、网络安全事故的反应与复原等内容提供了指导。 [4] 该导则为船东和营运人员提供了程序与行动上的指导，以维持航运公司与船舶的网络系统安全，为海事网络风险管理提供了实用建议。

五、船舶加强网络风险管理的迫切性

1.出于当前船舶网络使用的现实需要

鉴于前文所述船舶网络系统及其使用的现状， 面对来自网络的威胁，船舶基本上仍处于未防范或低防范状态，船员普遍尚未具有网络安全意识。出于现实状况需要，船舶亟须加强网络风险管理。

2.出于符合IMO决议的需要

据笔者调研掌握的当前的状况，已有部分公司 提前根据“ISO/IEC 27001信息安全管理体系要求”将信息安全管理纳入船舶管理体系，但该管理体系要求是通用性的，没有考虑船舶的特殊情况。此外，其只适用于信息技术 ( IT ) 系统，对于风险更大的操作技术 ( OT ) 系统未见提及。亦有部分公司已经建立了网络风险管理并将其纳入管理体系，但不符合IMO通函中的规定，内容模糊，指导性差，最常见的问题是缺失应急反应部分，或反应计划不具有实际指导意义。此外仍有多数公司尚未将 网络风险管理纳入船舶管理体系。然而距离2021年已然时日无多，各管理公司亟须尽早出台符合IMO通函规定的网络风险管理体系。

六、建议

为顺应航海科学技术的发展，符合IMO决议与 通函的要求，避免或减少网络安全事件的发生，管理公司与船员应认识到船舶网络安全的重要性，尽早采取应对措施：

1.及时建立符合IMO决议与通函规定的网络风 险管理体系，纳入船舶管理体系

网络风险管理体系需包括应对网络风险的识 别、防护、检测、反应、恢复等内容。特别是船舶遭遇网络威胁时的应急反应程序，应能够形成对各层级管理人员与船员的应对指导。例如，当检测到网络安全事件发生时，应及时报告，寻求岸基技术支持；考虑安装备用系统，如安装北斗系统作为GPS的备用替代系统，遭遇网络威胁时立即切换数据源；必要时及时切断相关网络，隔离网络攻击，依靠传统方式航行。

2.加强网络安全与风险管理培训，提高网络安 全意识

培训内容应考虑：( 1 ) 网络风险管理培训， 面向岸基员工与船员，明确各岗位的网络安全职责；( 2 ) 网络安全意识培训，面向岸基员工与船员，提高全体人员的网络安全意识；( 3 ) 计算机网络基础知识培训，主要面向船员，提高船员计算机基本技能，以加强日常的网络安全防护工作；( 4 ) 情景意识培训，面向船员，降低船员对先进航海仪器的过分依赖，使其能够在第一时间辨识网络安全事件，及时响应以减少损失。

3.实施网络安全事件演习

演习可以船岸联合演习的形式进行，训练提高 船员与岸基管理人员面对网络安全事件的应急反应能力。

参考文献：

[1]一艘8250TEU箱船被黑客劫持了10多个小时![EB/OL].(2017-11-29)[2019-10-10]. https://xindemarinenews.com/world/1372.html.

[2]IMO.Maritime cyber risk management in safety management systems(MSC.428(98))[R].2017-06-16.

[3]IMO.Guidelines on maritime cyber risk management(MSC-FAL.1/Circ.3)[R].2017-07-05.

[4]BIMCO.The guidelines on cyber security onboard ships[EB/OL].(2018-11-29)[2019-10-10]. https://www.bimco.org/-/media/bimco/about-us-and-our-members/publications/ebooks/cyber-security-guidelines-2018.ashx,2018.

作者简介：

杨冬立，青岛远洋船员职业学院航海系，船长，讲师。

*中国远洋海运集团有限公司科研项目“海上网络风险及管理研究（2018-1-R-004）”。

本文刊发于《世界海运》2020年第2期，转发须注明作者和原文出处。

免责声明：本文仅代表作者个人观点，与信德海事网无关。其原创性以及文中陈述文字内容和图片未经本站证实，对本文以及其中全部或者部分内容文字、图片的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

投稿或联系信德海事：

media@xindemarine.com