加强供应链安全管控 -从以色列寻呼机攻击事件中学到的教训

前言

尽管当前世界贸易保护浪潮汹涌，但不可否认，全球经济依然依赖跨越国界和企业的供应链。然而在别有用心的恶意攻击者眼中，这成为了可以利用的攻击因素。2024年9月17日发生在黎巴嫩以色列针对真主党的网络行动再一次验证了利用攻击链发动攻击的可行性，同时也再次表明国家和非国家攻击者都在采用先进的方法来破坏安全运营。这次行动的后果凸显供应链安全管控在企业风险乃至国家风险中的重要性，值得人们对供应链安全管控进行深度的思考。本文主要探讨了这次事件，对其影响做出分析，并提出了企业开展供应链风险管理的建议。

一、 事件过程

1.1 事件简述

2024 年 9 月 17 和9月18日，黎巴嫩各地的寻呼机和其他手持通信设备同时爆炸，造成 37人死亡，3000 多人受伤。根据现场的调查以及相关视频显示，当人们在查看携带的传呼机时，传呼机就发生了爆炸。有现场照片表明爆炸的传呼机型号来自于台湾省一家名为Gold Apollo的制造商。该事件是目前已知规模最大的物理供应链攻击行动。

图1：爆炸的寻呼机部件

图2：爆炸的现场

1.2 事件相关信息

目前获得的信息包括：

1. 可以判定这是以色列政府精心策划的一起针对黎巴嫩真主党组织的攻击行动。攻击行动利用了供应链存在的威胁因素。（一名未获授权公开发言的美国官员告诉美国全国公共广播电台（NPR），以色列通知华盛顿，它对周二的袭击负责。[1]）
2. 台湾省Gold Apollo公司创始人许静光反馈该AR-924 型号寻呼机产品在欧洲有一家在匈牙利布达佩斯名为A.C. Consulting的合作公司，双方合作已三年并已授权使用其品牌名称。许静光早些时候曾表示该公司的汇款存在问题，“汇款非常奇怪”，并补充说付款是通过中东进行的[2]。
3. 9月18日台湾省一名高级安全官员告诉CNN记者，台湾没有将 Gold Apollo 寻呼机运往黎巴嫩或中东的记录。该官员表示，从 2022 年 1 月到 2024 年 8 月，Gold Apollo 从台湾发送了约 260,000 台寻呼机，其中大部分运往美国和澳大利亚。[3]
4. 据路透社报道，A.C. Consulting公司成立于 2022 年，公司注册业务为电脑游戏发行、IT 咨询和原油开采。B.A.C. Consulting 首席执行官 Christiana Barsony-Arcidiacono 在9月18日告诉 NBC 新闻，她的公司与 Gold Apollo 合作，但否认制造了寻呼机。她说：“我不制作寻呼机。我只是中间人。我觉得你搞错了”。据法新社报道，这位首席执行官在法律文件上似乎是该公司唯一的雇员。路透社周三访问了该公司网站上列出的地址，在布达佩斯郊区的一个住宅区发现了一栋粉红色的建筑。公司的名字印在一张纸上并贴在门上。[2]

图3：位于布达佩斯市的B.A.C. Consulting公司地址

5. 匈牙利政府的国际发言人佐尔坦科瓦奇 （Zoltán Kovács） 发言表示，B.A.C. Consulting公司“在匈牙利没有制造或运营地点”，并且“相关的设备从未在匈牙利出现过” [4]。
6. 以色列政府对真主党采购的传呼机进行了定制改装，在里面植入了爆炸物并设计了引爆机制。布鲁塞尔的高级政治风险分析师伊利亚马格尼尔（Elijah J. Magnier）说，他与真主党成员交谈过，他们检查过没有爆炸的寻呼机。触发爆炸的原因似乎是发送错误消息到所有设备，导致它们振动，迫使用户点击按钮来停止振动。这种组合引爆了隐藏在里面的少量炸药，并确保爆炸发生时使用者在场[5]。

1.3 为什么是传呼机

相信有不少读者会疑惑为什么真主党不使用手机而使用在我国几乎难觅踪迹的传呼机作为通信工具，进而被以色列政府加以利用？事实上，随着现代通信技术以及手机硬件技术的发展，手机是一种非常容易被追踪和定位的通信工具。作为长期和以色列政府处于对抗状态的真主党自然也知晓该情况。由于真主党和以色列政府在技术方面存在巨大的差距，因此真主党不得不采用这种技术含量相对较低的通信设备，包括寻呼机和对讲机，以抗衡和降低以色列政府的优势。真主党领导人哈桑·纳斯鲁拉 （Hassan Nasrallah）在今年2月的一次演讲中呼吁他的战士扔掉他们的手机，他说，“关掉它，把它埋起来，把它放在一个铁箱子里，然后锁起来”。这导致后续该小组采用寻呼机作为沟通联系方式并将其视为一种更简单、更安全的通信方法。这种在不对称冲突中使用低端技术和战术的方式在某些时候也能够成功地对抗技术更为先进、资金更加充足的对手。在2002 年美国军方的千年挑战战争演练中。演习的叛乱红军使用低端技战术，包括采用驾驶摩托车的信使来传递消息而不是通过手机来传递消息，从而成功的逃避蓝军的高科技监视，并在演习的最初24小时中赢得了比赛，迫使演习规划者在有争议的情况下重置和更新场景，以确保蓝队获胜[6]。

1.4 整个事件的流程示意

以下是作者根据现有信息绘制的示意图。本示意图系根据现有信息并结合作者的理解绘制而成，不代表事实的全部真相和真实事件发生的全部具体过程，仅供阅读本文的读者更容易理解该事件。

图4：猜测的事件流程图

二、 事件分析

2.1 西方此类手段历史悠久

本次针对真主党的传呼机攻击并非孤立现象，事实上，这类方法早已被美国、以色列等西方政府玩的炉火纯青。早在2013年，棱镜门事件的主角斯诺登就曝光了美国国家安全局（NSA）内部有一个名为定制访问行动的部门（TAO,  Tailored Access Operations），该部门的职责是根据渗透和情报收集的需要对要运送到监控目标组织的服务器、路由器和其他网络设备等进行拦截并送到一个秘密地点，由该部门技术人员对这些设备秘密植入固件或软件，然后再进行包换并发送给被监控组织。

图5：美国NSA的TAO小组对Cisco公司的路由器进行改装并安置信标[7]

2020年2月，据《华盛顿邮报》和德国广播公司 ZDF 报道，几十年来，美国中央情报局勾结瑞士加密机生产巨头CRYPTO AG公司向毫无戒心的客户（包括盟友和敌人）出售被入侵的加密设备，从而监视全球各国政府。该计划自1970年实施，被监测国家包括沙特阿拉伯、伊朗、意大利、印度尼西亚、伊拉克、利比亚和韩国等120个国家政府[8]。

以色列则早在1996年就利用定制的手机，通过远程遥控的方式炸死了哈马斯组织炸弹专家 Ayyash。该针对性的暗杀行动由以色列内部安全部门 Shin Bet 实施，他们拦截了电话通信，确认了Ayyash 的身份并引爆了由线人交给Ayyash定制手机中隐藏的炸药，当场杀死了他[9]。利用同样的策略，以色列政府在 2000 年炸死了巴勒斯坦法塔赫组织的活动家[10]。

2.2 对全球的影响

首先利用供应链达到攻击方目的不是一种新的攻击手段，此类攻击手段以往通常是用于窃听和获取情报。但是这种利用正常供应链而实施的攻击行为，再一次刷新了我们的认知底线。事实上使用寻呼机和对讲机进行通信不仅是真主党人员在使用，在满目疮痍的加沙等地区，也有普通百姓在日常中使用此类工具[11] 。而这种利用民用通信工具，对使用人群实施无差别大规模攻击且不考虑爆炸带来的附带周边人员伤亡的攻击方式，目前仅此一例。

其次，利用供应链进行攻击实则是一把双刃剑。一方面，己方正常的商业利益必将受到损害，另一方面也会让对方加倍警觉，寻求更为安全的供应链供应。以前面提到的美国国家安全局(NSA)TAO小组对Cisco公司路由器进行改装的案例而言，Cisco公司时任首席执行官兼董事长约翰·钱伯斯 （John Chambers）在事件被披露后于2014年5月15日向美国时任总统奥巴马进行当面投诉并称这将损害该公司的全球利益。钱伯斯在信中表示，“如果这些指控属实，这些行动将破坏对我们行业的信心以及对科技公司在全球范围内交付产品能力的信心“[12]。一些明眼的美国群众也看出NSA的做法将对美国的高科技企业和行业造成长期的影响。

图6：2015年一位美国网友对NSA做法的观点

寻呼机爆炸事件所呈现攻击手法为全世界的国家提供了一个攻击模型，让大家知道如何将复杂且通常不透明的日常用品供应链武器化。有国外专家表示“它不仅引发了对所有物品的外部供应链脆弱性的质疑，尤其是（数字）连接的电子产品，而且还有可能使供应链攻击’正常化’和’普遍化。“ “这种方法有明显的效用——它会引起干扰和恐慌（事件发生后，黎巴嫩航班[13]和迪拜阿联酋航空公司宣布禁止携带寻呼机和对讲机上飞机[14]）。但它也可能产生模仿效果。不仅真主党和伊朗将从中吸取教训，台湾人、中国人、乌克兰人、俄罗斯人和其他人也会从中吸取教训”[15]。

当前全球经济低谷徘徊，贸易保护主义壁垒日益盛行，此事件的发生再加上西方国家刻意制造的政治构陷宣传，将进一步对全球供应链体系的发展和维系造成更大的打击和更多的困扰。这些打击和困扰包括普通群众对产品来源地进一步的不信任、跨国企业将可能调整投资生产布局、将发生更多的贸易壁垒行为、高科技产品和技术将被进一步限制进出口等。虽然截至目前具体的危害短时间内暂未呈现，但作者相信该事件必将持续发酵并对世界经济造成影响，后面将持续进行跟踪和观察。

对我国而言，地缘政治和意识形态斗争一直都存在。正如杨洁篪委员在中美会谈中说的“我们把你们想的太好了”，西方敌对势力为了达到目的会使用一切手段，所谓的商业准则、人类道德、国际关系法等只是随时可用可弃的抹布。今年10月16日，中国网络空间安全协会提出对美国Intel公司生产芯片进行系统性排查的建议[16]表明了我们对供应链安全的高度关注，且再一次揭露了我们所面临的供应链风险。

以美国为首的西方国家一方面干着不可见人的脏活，一方面又不断的污蔑、诋毁我国产品和机构企业，并实施所谓的禁运和制裁。在2018年10月，彭博社发了一篇名为《The Big Hack》的耸人听闻的虚假报道，号称 Apple、Amazon 和其他数十个数据中心公司受到中国情报部门的威胁。彭博社声称，美超微 （SMCI）公司的服务器主板被流氓芯片破坏，这些芯片旨在秘密地给中国情报服务器发送信息。彭博社当时没有提供任何实际证据。五年后，也没有发现任何证据表明存在这种流氓芯片。而且被彭博社声称遭到入侵的每家公司都断然否认了该报道。即便如此，彭博社也从未撤回过该报道。当该篇报道发出后，SMCI公司股价随即从每股 21.50 美元暴跌至每股 11.65 美元，跌幅近50%，然而后面该公司的股票不断的攀升，在2023年5月18日该公司股票收于 164.56 美元，比“The Big Hack”下跌后高出 14 倍多。导致美国有识之人在分析此事件时怀疑是背后有势力指使通过发布虚假消息，一方面达到了政治目的，一方面通过该消息做空该公司股票而后期获得高额回报[17] 。

三、 企业可以学到的经验教训

此次发生在中东地区的寻呼机爆炸案例虽然是一个关系到国家安全的极端案例，但它对于企业来而言是一个严酷的警示：在日益复杂的供应链体系和日趋复杂的攻击行为下，没有实体能够在供应链攻击下得以幸免。更不用说是面对国家行为或是国家资助的攻击者。供应链中任何一个组件中存在的漏洞都可能导致企业面临灾难性的违规或运营中断，导致金额损失甚至人员伤亡。

针对供应链存在的安全风险，不少国家都制定了相关的法律法规以及相关标准。限于篇幅，这里仅陈述2个标准供读者参考。其一，我国在2018年颁布了国标《GB/T36637-2018信息安全技术 ICT供应链安全风险管理指南》，该指南中指出了ICT 供应链面临的风险。

图7：ICT供应链安全风险

其二，美国国家标准和技术研究所NIST在2022年5月更新了《SP800-161r1 联邦信息系统和组织的供应链风险管理实践》。该标准重点关注了C-SCRM（网络软件安全供应链风险管理实践），并从多个维度阐述了管理实践中需要关注的方面。

图8：C-SCRM的维度

结合国标所阐述的安全风险、C-STEM提出的安全关注维度以及上述案例，作者建议企业必须采取积极措施来识别和缓解供应链中的漏洞所带来的危害。以下是建议的具体措施。

• 制定供应链管理策略
• 遵循合规性（主要为《中华人民共和国网络安全法》、《网络安全审查办法》、《关键信息基础设施保护条例》）
• 优先考虑国产化产品
• 积极推进国产化替代
• 关注国家相关机构、行业监管部门以及相关组织发布的安全警示（包括国家互联网信息办公室、工业和信息化部、各行业监管部门、CNCERT、网络空间安全协会等）
• 确定供应链组成部分
• 规划整个供应链。确定对企业运营至关重要的关键供应商、软件提供商和服务承包商。
• 对于每个供应商，应以表单方式详细记录他们提供的产品、服务或访问权限。这将有助于确定它们受到威胁时的潜在影响。
• 按风险级别对供应商进行分类
• 不同的供应商所面临的风险各不相同，因此建议根据以下因素对它们进行分类：
• 访问敏感数据：哪些供应商可以访问机密数据或系统？
• 对运营的重要性：哪些供应商对核心业务职能至关重要？
• 地缘政治因素：供应商是否位于政治或网络安全风险较高的地区？供应商是否受到地缘政治的政策和法规影响？
• 评估供应商的安全实践
• 审查供应商的内部网络安全策略和控制措施。确认他们是否遵循国家法律法规以及行业标准，例如三法一条例、等保标准、ISO/IEC 27001等？
• 检查他们是否定期自行组织或邀请第三方开展网络安全审计与风险评估。
• 如果可能，索取相关的审计结论和风险评估告以深入了解他们的安全措施和安全现状。。
• 确定合同义务
• 确保企业与供应商的合同是否已包含约定的网络安全要求。这些要求包括：
• 产品以及实施维护人员的安全要求。
• 事件响应和通知要求。
• 供应商必须遵守的最低安全标准。
• 允许采购方定期审计和评估供应商的网络安全控制措施。
• 如果供应商未能满足安全预期，则终止合同条款。
• 持续监控和审计
• 供应链风险管理不是一次性的事件。企业需要持续监控供应商是否存在潜在的安全风险、业务实践的变化以及产品或服务出现新的漏洞。
• 最好具备或提供实时风险评估的工具，以跟踪供应商网络中的潜在威胁。
• 定期审查和审计供应商对网络安全要求的遵守情况。
• 制定供应链违规响应计划
• 为可能发生的供应链攻击做好准备。创建专门针对供应链中断量身定制的事件响应计划。
• 计划中应包括关键的内部和外部利益相关者，并概述他们在遏制和缓解违规方面的作用。
• 定期开展安全演练，练习应对假设的供应链攻击，确保在真实事件发生时做好准备。

结束语

本次以色列发动的供应链攻击，表明当今高度互联互通的世界所涉及的巨大风险。虽然大多数企业不是军事行动的目标，但它们仍然不仅面临来自地缘政治斗争带来的连带伤害，而且也面临着网络犯罪分子和国家资助团体的巨大威胁。

开展供应链风险管理对于识别潜在供应链风险漏洞和保护企业的业务至关重要。通过采取主动措施，企业可以最大限度地降低因供应链威胁而带来的业务中断、数据泄露以及声誉损害的风险。如果企业还没有开始评估供应链风险和供应链风险管理的话，那么现在应该是考虑着手进行的时候了。

 

参考文献

[1]https://www.npr.org/2024/09/20/g-s1-23812/lebanon-israel-exploding-pagers-hezbollah-international-law

[2]https://www.newarab.com/news/taiwanese-hungarian-firms-centre-hezbollah-pager-mystery

[3] https://edition.cnn.com/2024/09/17/middleeast/lebanon-hezbollah-pagers-explosions-intl/index.html]

[4] https://x.com/zoltanspox/status/1836404440451969464

[5]https://apnews.com/article/lebanon-hezbollah-israel-exploding-pagers-8893a09816410959b6fe94aec124461b

[6] https://cyberlaw.stanford.edu/blog/2024/09/lessons-from-the-israel-pager-attack/

[7] https://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant/?ref=cyberlaw.stanford.edu

[8]https://www.pcmag.com/news/report-cia-used-swiss-firm-to-sell-hacked-encryption-tech-to-spy-on-governments

[9]https://israeled.org/phone-bomb-kills-terrorist-yahya-ayyash/?ref=cyberlaw.stanford.edu

[10] https://www.schneier.com/blog/archives/2024/09/israels-pager-attacks.html

[11]https://www.detroitnews.com/story/tech/2024/09/20/who-still-uses-pagers/75305445007/

[12]https://www.pcworld.com/article/439328/ciscos-chambers-tells-obama-that-surveillance-impacts-technology-sales.html#:~:text=Cisco%20Systems%E2%80%99%20CEO%20John%20Chambers%20has%20written%20to,of%20surveillance%20by%20the%20U.S.%20National%20Security%20Agency.

[13]https://www.timesofisrael.com/liveblog_entry/lebanon-bans-pagers-and-walkie-talkies-from-flights-after-wave-of-explosions/

[14]https://www.cnn.com/2024/10/05/travel/emirates-airline-bans-pagers-walkie-talkies-intl/index.html

[15]https://www.newarab.com/analysis/how-israels-tech-warfare-lebanon-ignites-supply-chain-fears

[16] https://www.guancha.cn/internation/2024_10_16_751980.shtml

[17]https://daringfireball.net/2023/05/lets_check_in_on_supermicro