摘要：本文主要分享一些我们最近对iDirect设备的研究，篇幅较长，我们公开了部分研究成果，也希望更多对卫星网络安全研究感兴趣的读者能加入这个新赛道。

一、前言

本文主要分享一些我们最近对iDirect设备的研究，篇幅较长，我们公开了部分研究成果，也希望更多对卫星网络安全研究感兴趣的读者能加入这个新赛道。

二、事件回顾

2.1 事件概况

2025年3月18日，黑客组织Lab Dookhtegan（又称“Read My Lips”）宣称对伊朗两大国有航运公司—伊朗国家油轮公司（NITC）和伊斯兰共和国航运公司（IRISL）的116艘船只发动大规模网络攻击，导致油轮的卫星通信系统全面瘫痪。此次攻击正值美国对也门胡塞武装发动军事打击之际，被外界视为针对伊朗地区代理人的“数字报复”。

此次攻击主要针对船舶的卫星通信系统，导致船上和陆地间的通信中断，该组织利用Shodan等互联网搜索工具扫描并锁定了暴露在互联网上的iDirect卫星通信终端，通过默认口令获取终端root权限。攻击者随后部署自动攻击脚本，利用终端自带的dd指令擦除存储器，导致终端系统无法正常工作。

本次攻击事件的技术复杂度表明，这绝非普通黑客组织所能独立完成，背后可能存在国家行为体的间接支持。Lab Dookhtegan 在Telegram上表示，发起这项行动是为了配合美国对也门胡塞武装的袭击，这两家公司负责向胡塞武装供应弹药。根据技术分析，此次攻击手法与2022年2月针对Viasat卫星网络的攻击高度相似，同样利用了设备弱口令和系统版本陈旧(2020年版本)的安全缺陷，反映了卫星通信设备面临的普遍安全挑战。

2.2 冲突焦点

在此次事件中，美国ST Engineering iDirect公司的iDirect卫星调制解调器成为攻击者的核心目标。作为船舶与外界通信的关键桥梁，iDirect卫星调制解调器在船只远离陆地时提供可靠的高带宽通信链路。这些设备采用"星状网"拓扑结构，通过Ka或Ku波段与地球同步轨道卫星相连，形成覆盖全球海域的通信网络，在伊朗海事领域有大量部署。iDirect卫星调制解调器存在默认口令（root,P@55w0rd!），一般用户不会主动修改该密码导致默认口令的风险存在。另一方面，系统版本的陈旧也增加了较大风险，通过此次事件获取到的信息，该设备系统为2020年版本，OpenSSH等关键服务版本老旧，主要由于设备厂商较少提供系统更新服务导致，这些脆弱性与设备厂商缺乏持续更新支持直接相关，造成"技术债务"不断积累。

从功能角度看，这些卫星终端负责船舶的互联网接入、远程监控、船员通信及数据传输等关键业务。虽然目前多数船只的总线系统与通信系统相对隔离，限制了攻击影响范围，但随着船舶自动化程度提高和系统互联深化，这种隔离正逐渐弱化。攻击者通过破坏这些终端，不仅造成通信中断，还展示了针对关键基础设施的精准打击能力。美国企业生产的卫星通信设备在伊朗油轮上的广泛应用，形成了一种特殊的技术依赖关系，使伊朗关键海运基础设施在国际政治博弈中处于脆弱位置。

三、海事卫星通信骨干单元iDirect设备

3.1 iDirect设备简介

iDirect设备指的是美国ST Engineering iDirect公司（其母公司为新加坡ST Engineering）的卫星通信产品。ST Engineering iDirect产品类型包括调制解调器、集线器和卫星通信解决方案，主要服务于服务商、网络运营商、政府机构、大型企业、军队等客户，其全资子公司iDirect Government是美国国防部领先的卫星通信产品供应商。其产品线涵盖iQ系列、Evolution系列、Evolution Defense 系列、Velocity 系列、MDM系列及9系列等多个方向，其中Evolution系列主要用于星状组网架构的VSAT场景，在海事通信领域具有广泛应用。消息表明，我国目前仍有Evolution系列的设备正在服役。

iDirect相关设备并不依赖于特定的卫星系统，而是通过与不同的卫星服务提供商合作，使用多种卫星来提供通信服务。伊朗的油轮具体使用哪颗卫星来提供通信服务取决于服务提供商的选择和船舶的航行区域。此次攻击的核心目标是船载iDirect VSAT（甚小孔径终端）卫星通信设备中的调制解调器。

iDirect VSAT设备的工作原理基于卫星通信的基本架构，实现了地面站点与卫星之间的双向数据传输。其通信链路包括从中心站点（Hub）到远程站点的前向链路和从远程站点回传到中心站点的返回链路。

其技术特点是采用基于TDMA（时分多址）和SCPC（单载波每信道）的混合访问方式：支持DVB-S2/S2X标准，实现高效的带宽利用；实现动态带宽分配(DBWA)，根据流量需求自动调整带宽资源；集成QoS(服务质量)功能，确保关键业务流量优先处理。采用IP封装技术，将用户数据封装成适合卫星传输的格式，实现加密和压缩功能，保障数据安全和传输效率，支持TCP加速和Web缓存，优化卫星链路的数据传输性能。

其网络架构由中心主站、卫星转发器和远程终端组成，主站连接互联网骨干网，负责管理整个网络，远程终端通过天线和调制解调器与卫星通信。

3.2 主要部署场景与应用生态

iDirect在全球范围内实现了可靠的卫星通信，特别是在传统通信基础设施不可用或不可靠的地区发挥着重要作用,如在海事通信、能源行业、政府和军事应用、偏远地区连接等场景下应用。

在海事领域，iDirect设备广泛应用于海上通信。可用于商业船队，为船员提供互联网访问和通信服务，支持船舶远程监控和诊断系统，提供航线优化和天气导航信息服务；也可用于邮轮和客运船，为乘客提供高速互联网服务，支持船上娱乐系统和支付系统，实现船舶安全监控和紧急通信；还可用于海上石油平台，提供远程操作和监控能力，支持视频会议和专家远程协助，确保关键业务数据的实时传输。

在石油和天然气行业，iDirect设备可应用于偏远油气田的通信和管道监控等场景。可连接偏远油气田现场与总部的通信，支持SCADA系统和远程监控，提供员工福利通信服务；可用于管道监控，实现长距离管道的实时监控，支持泄漏检测系统数据传输，提供安全监控和紧急响应通信。

在政府和军事领域也有广泛应用。iDirect的军用级产品线可应用于战术通信，提供易于部署的机动通信系统，支持加密和抗干扰通信，实现指挥控制系统的网络化；还可应用于边境监控，连接偏远监控站点，支持视频监控和传感器数据回传，提供紧急情况下的通信保障。

在缺乏传统通信基础设施的偏远地区通信方面也有着应用。可在缺乏传统通信基础设施的地区提供互联网接入，支持远程教育和医疗服务，实现政府公共服务的数字化；在灾难响应场景下，可以提供快速部署的应急通信系统，支持救灾指挥和协调以及在传统通信中断时提供备份连接。

3.3 互联网设备分布情况

从DayDayMap的测绘结果显示，共有12922个设备暴露在互联网上。

其中印尼、德国、沙特、美国和英国使用的该设备最多，这些国家也都对应有大量的海上通信业务。

四、iDirect设备相关协议分析

4.1 分析思路

iDirect设备提供的协议从多个方面进行分析，一个是根据伊朗反政府黑客组织“Lab Dookhtegan”公布的信息；另一个是设备的官方文档；三是根据设备的应用场景入手；最后通过未知协议带有特定信息入手。

4.1.1 根据伊朗反政府黑客组织“Lab Dookhtegan”公布信息

根据伊朗反政府黑客组织“Lab Dookhtegan”公布的iDirect设备内部监听端口信息可知，目前TCP端口443，80，22，2494，以及UDP端口36057，53471，9000，60989，67，1492均有机会对其进行尝试。

A、80，443webserver

在daydaymap上根据如下指纹搜索到相关设备，其中title=="iDirect Terminal"可以确认是该产品，而另一个无法对其进行确认。

body=""||title=="iDirect Terminal"

B、22端口的ssh信息

C、Falcon主要是用于运行所有的satellite functions。

在2494端口探测数据时发现有iDirect证书的数据，用于佐证2494端口对iDirect设备的识别。

4.1.2 iDirect Velocity的说明书发现其支持snmp功能

4.2 设备的应用场景

i. Mikrotik

从《俄罗斯Dozor-Teleport卫星通信运营商遭黑中断情况分析》一文中发现了iDirect与Mikrotik混合的应用场景，同时在其Mikrotik官网论坛里发现用户关于iDirect和Mikrotik混合场景的讨论。再根据Mikrotik提供的协议，进行涉及协议的分析。如下图，可以获取到这个设备的hostname,当将TIRTASARI在海事网站MarineTraffic: Global Ship Tracking Intelligence | AIS Marine Traffic进行搜索时，可以发现这是一艘货轮的名称。

Mikrotik一般在外部的协议主要是PPTP,L2TP,IPsec以及bandwidth-test。其中pptp和l2tp协议能获取更多有效信息供指纹进行识别。

ii. Cisco

iDirect X7-EC Satellite Router内嵌了Cisco 5921 Embeded services Router，也就是说可以通过Cisco端口进行iDirect设备的识别。

未知协议

banner="iDIRECT"&&service="junoscript"

banner="IDIRECT:ident" && service="unknown"

对内容进行分析后发现，KVH V7-HTS是真实的VSAT设备

五、iDirect设备指纹特征

iDirect设备相关指纹特征包括：http/https协议指纹、PPTP协议指纹、title类指纹、banner类指纹、组织类指纹。在DayDayMap平台搜索单一指纹特征或组合指纹特征，可进行iDirect设备确认。考虑到信息敏感性，以下章节部分检索指纹已做模糊处理。

5.1 http/https协议指纹特征

A、在daydaymap平台搜索title=="iDirect Terminal"

可以看到是iDirect公司的设备，继续研究发现可以进一步获取到设备型号：

该型号是iDirect的一款卫星调制解调器：

B、在daydaymap平台搜索body="*****码住)login.html\"/>"，结合iDirect Evolution路由器说明书可以看到web登录页面如下：

继续研究可以获取到设备型号：

可以看到是iDirect Evolution X7卫星路由器设备。

C、在daydaymap平台搜索title=="Newtec Satellite Modem"

点击页面的Device Info，可以看到设备型号：

可以看到ST Engineering把Newtec收购了，Newtec MDM2200是卫星调制解调器设备。

5.2 pptp协议指纹特征

在daydaymap平台搜索banner="iDirect" && service="pptp"，主要有两个厂商的路由器会出现在iDirect设备系统中，MikroTik和Cisco。MikroTik的指纹特征如下：

Cisco的指纹特征如下：

1、org组织指纹特征

在daydaymap平台搜索org:"APT MOBILE *****(码住)" && service="pptp"，数据中的主机名是船的名字：

这些船名字在网站上搜索船的名字，可以看到船的位置信息。

2、其他iDirect相关设备指纹特征

A、在daydaymap平台搜索banner="IDIRECT: *****(码住)" && service="ddp"

可以看到厂商以及设备型号，结合搜索引擎得知是VSAT系统设备：

B、在daydaymap平台搜索banner="IDIRECT: *****(码住)" && service="unknown"，能够发现一些未知协议信息

C、在daydaymap平台搜索title=="Sea Tel",访问web登录页面如下：

可以看到是Sea Tel的产品，结合Sea Tel官网可以看到Sea Tel的产品也是应用在VSAT系统中：

D、在daydaymap平台搜索banner="Houston combined*****(码住)"

可以看到这也是iDirect路由器设备，结合搜索引擎可以得知该厂商也是做卫星互联网相关的设备及解决方案：

E、在daydaymap平台搜索banner="Broadband Satellit*****(码住)"

可以看到HN7000S是HUGHES的卫星调制解调器。

六、 iDirect设备漏洞信息

6.1 iDirect设备默认口令

6.1.1 ssh默认口令

公开资料表明，此次伊朗油轮事件中，攻击组织Lab Dookhtegan通过iDirect设备弱口令获得root权限，从而导致116艘油轮上的卫星通信中断。iDirect系列调制解调器通常存在默认口令（root,P@55w0rd!），一般用户不会主动修改，从而导致默认口令风险。

6.1.2 web管理后台默认口令

经分析研究，Web iSite是iDirect Evolution系列卫星路由器（如X1、X7和e150型号）内置的Web服务器界面，允许用户通过Web浏览器直接访问和管理这些设备。iDirect Evolution X1路由器基本属性为：

默认登录地址：192.168.0.1

默认登录用户名：Admin

初始密码为：*****(码住)

互联网上暴露的很多web页面并未修改初始密码导致能进入管理后台。相关POC已录制到daydaypoc平台。

6.2 iDirect设备其他漏洞

iDirect设备属于ST Engineering公司，该公司收购了Newtec，从前面的测绘分析可以看出，Newtec Satellite Modem与iDirect设备MDM系列相关联。

1、CVE-2024-13502

该漏洞属于Web界面命令注入漏洞，影响的设备为Newtec Satellite Modem，影响的版本是1.0.1.1 到 2.2.6.19。在管理界面中用于配置多播的‘commit_multicast’页面会将请求中的传入数据传递给 bash 脚本中的‘eval’语句导致任意命令执行。经daydaymap测绘验证，可以未授权进入该设备后台：

相关POC已录制到daydaypoc平台，具体如下：

2、CVE-2024-13503

Newtec 更新信号中的基于堆栈的缓冲区溢出导致 RCE，该漏洞显示parse_INFO 函数使用不受限制的“sscanf”将传入网络数据包的字符串读入静态大小的缓冲区中，swdownload 二进制文件中的堆栈缓冲区溢出允许攻击者执行任意代码。

七、油轮到地缘博弈的卫星互联网暗战逻辑

伊朗油轮通信中断事件中，卫星互联网攻击对航运安全的影响受到普遍关注，实质上，此类事件只是冰山一角。随着低轨卫星星座快速铺设，卫星互联网深度嵌入全球通信、导航与信息分发体系，掌握对抗技术主动权的国家，可借助卫星互联网拓展更广泛的地缘触角。

卫星互联网暗战是指国家或非国家行为体通过利用、干扰、劫持、或入侵卫星网络系统，对偏远地区、关键航道、战区前沿、舆论空间等实现低成本、高速度的隐蔽性信息技术干预，借此获得政治、军事、经济优势地位。其对地缘博弈的强化作用，主要体现在以下三方面：

首先，卫星互联网暗战可突破地理边界，实现“全域触达”。卫星互联网不依赖传统地面通信基础设施，无需穿越他国边境或依赖海底光缆，天然具备跨越地理阻隔与主权壁垒的能力，无论是偏远山区、广袤沙漠，还是深海远洋、极地孤岛，卫星互联网都能直接打通“地缘盲区”，让通信“触角”延伸到传统地缘力量难以触达的地方；

其次，卫星互联网暗战可塑造全球认知触角，影响跨境舆论空间。卫星互联网通过全球终端接入，可绕开本地网络安全监管，直接影响不同国家或地区用户的信息来源和上网路径，成为“舆论入口”的新平台，这种“技术通道+认知影响”双维度触角，赋予主导国以跨境信息渗透与舆论操控的潜在能力，正日益成为信息战场的新焦点；

最后，卫星互联网暗战有助于战略前沿外推，地缘防线前置。卫星互联网以其全球可达、实时覆盖的特性，依托低轨星座构建的全球通信体系，使具备主导地位的国家能够远距离感知关键区域动态，部署远程通信压制、数据干扰、电子诱导等“非接触式”对抗手段，从而将战略控制能力由本土边境推向遥远海域、岛链前沿、冲突边缘区。

卫星互联网暗战在地缘博弈中具有不可忽视的作用。它不仅改变了信息传输的传统模式，还赋予国家在全球范围内展开隐蔽战斗、操控舆论、推进战略布局的新能力，成为新时代地缘博弈的重要武器。

八、如何加强卫星互联网防御？

卫星互联网的安全防御是一个复杂的系统工程，涉及到通信链路、卫星设备、网络架构以及地面终端等多个层面。鉴于卫星互联网安全在政治、军事、经济等领域的广泛影响，应高度重视卫星互联网安全防御问题，具体措施包括：

（1）建立网络测绘驱动的卫星互联网安全防御机制

通过部署卫星互联网专用测绘系统，对卫星互联网拓扑结构、节点特征、漏洞风险等进行实时监控，发现卫星互联网设备暴露情况、攻击入口，识别不合规的卫星互联网终端，绘制卫星互联网可视化地图，为卫星互联网安全威胁预警和应急响应处置提供决策依据。

（2）采用成体系的国产化卫星网络通信加密解决方案

在不同类型的卫星通信链路与终端设备中，部署支持国密算法的软硬件加密模块，包括高速、中低速、嵌入式卫星通信密码模块及无人机加密模块，实现多场景、多速率、多平台的通信加密覆盖，提升卫星互联网的体系化安全能力。

（3）研制轻量级的星载边缘AI安全防护模块

针对卫星资源受限的特点，开发低功耗、高实时性的星载边缘AI安全防护模块，通过轻量化神经网络模型与星上数据处理能力，实现卫星互联网的本地化实时安全监测与响应，减少地面站依赖，构建星端协同的智能化安全防护体系。

文章来源：烽火台实验室公众号

来源：盛邦安全