Scattered Spider 这个黑客组织,正悄悄潜入我们每天搭乘的航空公司的信息系统。它可能就在你买机票的那一秒,或者你在机场用 Wi-Fi 的时候,已经开始下钩。
01|Scattered Spider 盯上航空业
近日,Google 旗下的 Mandiant 和 Palo Alto Networks 的 Unit 42 几乎同时发布安全预警:知名黑客组织 Scattered Spider 正在持续攻击全球航空产业链,包括航空公司、IT服务外包商及其核心基础设施。
这不是一次普通的网络攻击。就在本月,加拿大第二大航空公司 WestJet 和夏威夷航空相继中招,部分服务系统持续宕机,有报道指向“攻击者为 Scattered Spider”,且疑似仍在进行数据勒索与后门控制。
FBI 也罕见地发声:“航空生态系统内的所有参与者,包括供应商、承包商、外包IT商,都处于潜在风险之中。”
02|“蜘蛛”从哪里来?平均年龄不到20岁的新型网络黑产样本
Scattered Spider 又名 Muddled Libra、Octo Tempest、UNC3944,成员大多为操英语的青少年,甚至包括未成年人,分布于美国与英国。他们活跃于 Telegram、Reddit 和 Discord,擅长社交工程,最初靠 SIM 卡交换(SIM Swapping)和 MFA 疲劳攻击入侵目标公司。
他们并不需要太多技术壁垒,而是依赖伪装、欺骗和人性的漏洞:
伪装成公司高管联系 IT 支持,要求重置 MFA;
利用网络平台搜集员工资料,进行钓鱼攻击;
在拿到一条缝隙后迅速部署勒索病毒,劫持运营系统;
与提供勒索软件即服务(RaaS)的团队合作,如 ALPHV。
他们从 2022 年起频繁出现在事件报告中,攻击目标包括 MGM Resorts、Caesars、Visa、Transamerica、Twilio、Snowflake 客户…… ——可谓是“横扫科技、金融、零售、娱乐四大行业”。
03|黑产产业链分工明确,航空只是最新一环
根据 Reliaquest 分析,从 2022 年到 2025 年,该组织注册了超 600 个钓鱼域名,其中 81% 伪装为技术供应商网站,70%攻击对象为科技、金融、零售企业。
最新趋势则表明,他们正将攻击路径延伸至:
航空公司 IT 系统;
第三方运维平台;
远程管理软件(如 SimpleHelp);
SSO 登录服务提供商(如 Okta);
这意味着一个组织若使用外包客服、第三方VPN接入、多云部署、远程MFA系统,都可能是“下一个入口”。
Scattered Spider 的攻击逻辑已经从“点式破坏”演变为“链式渗透”。
04|从赌场到航空,这场“黑客全球化”有何影响?
2023年,Scattered Spider 入侵 MGM 和 Caesars 引发轩然大波:
MGM 全美连锁系统瘫痪,从门锁、点餐、停车、赌场积分系统全面宕机;
Caesars 支付了 1500 万美元赎金,换取数据删除的承诺(但无法验证);
MGM 后续因安全事故支付 4500 万美元和解金,并面临多起集体诉讼;
Moody's 对其信用评级下调预警,CEO在会议中坦言“完全失控”。
如今他们盯上了更高复杂度、更依赖供应链运作的航空业,风险远不止数据泄露那么简单。一次攻击可能导致机场运营延误、乘客信息失控,甚至航空调度瘫痪。
在数字高度耦合的世界,一环未稳,全盘动摇。
05|谁能治得了“蜘蛛”?困境与治理缺口仍待破解
尽管国际执法机关频频出手:
2024年,疑似头目 Tyler Buchanan 在西班牙被捕,持有价值 2700 万美元的比特币;
同年,美国、英国警方先后逮捕 3 名核心成员;
但整个组织并未瓦解,反而有新账号迅速顶替上线;
这种“去中心化、年轻化、国际化”的黑客组织,已经突破传统执法国界,开始展现出网络时代新型灰黑产的能力边界与监管盲点。
写在最后
Scattered Spider 是一种警示:当网络攻击变得越来越“低门槛、高破坏”,我们需要的不只是防火墙,而是从组织架构到员工意识,从安全合规到全球协作的系统性升级。
未来被攻击的不只是赌场或航空公司,可能是每一家数字依赖度高、缺乏内外部安全协同机制的企业。
而你我,作为乘客、用户、客户,也终将在这张“网络蜘蛛网”中,被牵连、被波及,或者被守护。
