1.导语
在半导体与关键电子系统领域,OSI Systems, Inc.(纳斯达克代码:OSIS)或许不为大众所熟知,但其服务的客户却掌握着全球各国的安全命脉。作为一家设计和制造用于国土安全、国防及航空航天电子系统的巨头,其核心客户名单包括美国政府、美国特勤局(US Secret Service)以及全球多个国家的边境管理机构。
2025年12月31日,Solar 威胁情报中心监测到,INC Ransom勒索组织在其暗网泄露站点将OSI Systems列为受害者。与此前 Unipres(本田/日产供应商)事件中攻击者明确索要赎金不同,此次 INC Ransom 尚未公开具体的赎金金额及谈判记录,而是直接释出了部分高敏感度的内部数据作为勒索证明。
这一事件表明,针对国防与国土安全供应链的定向攻击正在穿透企业的物理与数字防线,敏感数据暴露的风险已延伸至国家安全层面。
2.事件复盘:核心机密与政企合作细节曝光
根据 Solar 团队掌握的美国OSI Systems INC遭勒索攻击事件,攻击者目前已公开的数据虽然只是冰山一角,但足以证实其已深度渗透进 OSI Systems 的核心网络。
2.1 攻击面确认:从医疗到国防的全覆盖
OSI Systems 的业务涵盖安全、光电及医疗保健。泄露证据显示,攻击者并未局限于单一部门,而是获取了跨业务线的敏感资料。
图1:INC Ransom 暗网泄露站点展示的 OSI Systems 页面,包含已窃取的数据预览
2.2 泄露证据深度解析
Solar 应急响应团队对 INC Ransom 勒索组织在暗网释出的证据图片进行了逐一鉴别与深度关联分析。分析结果显示,此次泄露并非普通的企业数据丢失,而是涵盖了机密级政府合同、核心光电技术图纸、敏感财务报表及合规架构文件的全方位数据灾难。
这些样本确凿地证明,攻击者已成功突破 OSI Systems 及其子公司的内网防线,窃取了直接关联国家安全利益与商业核心竞争力的绝密资产。
(1)国防合同与国家安全合规防线失守
涉及美国政府及国防部的敏感信息泄露。攻击者掌握了公司处理机密项目的内部流程与合同细节。
图2:泄露的内部机密合同清单,包含项目代号、客户分类及执行状态(已模糊处理)
深度解读:这张截图详细列出了子公司正在执行或已执行的秘密级国防项目。图中清晰可见项目代号、负责实体以及客户分类,直接关联美国政府高度敏感的安全合同。一旦被敌对势力获取,不仅暴露了美国国防部与承包商的合作细节,更可能被用于分析美军特定装备的供应链脆弱点,导致公司面临严厉的政府安全审查。
图3:公司内部关于国防机密合同执行的隔离治理决议(已模糊处理)
深度解读:该文件揭示了公司为处理国防部机密合同而设立的严格隔离机制,明确要求高层不得访问子公司 OSI Electronics 的机密信息。这类合规治理文件的曝光,意味着攻击者已经触及了公司合规架构的核心层,公司的安全治理信誉将遭受重创。
图4:美国政府关于受控加密物品(CCI)的操作指南与合规文件(已模糊处理)
深度解读:尽管文件本身可能非机密,但其详细记录了公司处理受控加密物品的内部流程与授权来源。这为攻击者评估公司加密设备管理水平提供了情报,极易被用于伪造合规文件或策划针对供应链的渗透攻击。
(2)核心光电技术与芯片IP图纸遭窃
作为光电子领域的领军企业,OSI Systems 的底层制造工艺与设计图纸是其立身之本,而此次泄露涉及了从晶圆布局到封装组件的完整技术链条。
图5:定制双通道芯片的掩膜布局与多层结构设计图(已模糊处理)
深度解读:这份图纸详细展示了芯片的P+掩膜、金属掩膜布局及精确尺寸标注。这是光电子芯片制造的“源代码”,一旦流入竞争对手手中,将导致公司多年的技术壁垒瞬间瓦解,甚至被逆向工程复制。
图6:5英寸晶圆的芯片阵列布局与切割工艺图(已模糊处理)
深度解读: 晶圆图(Wafer Map)暴露了公司新项目的生产布局与良率优化设计。竞争对手可据此精确计算生产成本、产能,甚至制造出足以乱真的假冒组件,严重干扰正规产品的市场秩序。
图7:光电二极管组件的详细装配工艺与线键合细节(已模糊处理)
深度解读:包含前视图、侧视图及材料说明的装配图泄露,意味着公司精密器件的封装工艺彻底透明化。对于应用于国防辐射监测或医疗成像的敏感器件,这种泄露可能导致产品被针对性干扰或仿制。
(3)商业战略底牌与财务健康状况曝光
除了技术与国防信息,攻击者还窃取了大量涉及公司并购、财务状况及全球架构的绝密商业文件。
图8:针对 IDSS的收购提案信(已模糊处理)
深度解读:信中详细披露了3.5亿美元的总对价结构(现金+股票+里程碑支付)以及附带的 TSA 合规销量条件。此类历史并购细节的曝光,暴露了公司的战略投资逻辑与估值模型,将严重削弱其在未来并购谈判中的议价优势。
图9:OSI Systems 及其全球子公司的完整股权架构图(已模糊处理)
深度解读:该图表列出了从安全部门到海外控股公司的精确持股比例与税务架构。对于一家涉及机密项目的上市公司,这是高度敏感的治理信息,可能引发监管机构对潜在避税或合规架构的深入调查。
图10:内部应收账款逾期清单,暴露关键客户名单与欠款金额(已模糊处理)
深度解读:泄露的财务报表详细列出了前20大客户的欠款余额与逾期天数(部分总额超千万美元)。这不仅暴露了现金流健康状况,更直接泄露了核心客户名单,极易被竞争对手用于针对性挖角或制定恶性竞争策略。
3.攻击者情报:INC Ransom 组织
本次事件的始作俑者INC Ransom是一个自 2023 年 7 月起活跃的勒索软件即服务(RaaS)组织。不同于广撒网的团伙,INC Ransom 表现出明显的“大猎物狩猎(Big Game Hunting)”特征。
攻击历史与偏好:该组织专注于攻击医疗保健、政府及关键制造业。就在近期,该组织还袭击了富士康子公司鸿腾精密(FIT Hon Teng),导致其全球供应链图纸泄露。
相关阅读:鸿腾精密遭INC深度渗透:富士康全球供应链爆发前所未有泄露风险
战术特征(TTPs):
初始访问:常利用RDP 弱口令或网络钓鱼邮件获取立足点。
横向移动:擅长使用Advanced IP Scanner扫描内网,并利用Impacket (wmiexec.py)进行无文件横向移动,以规避 EDR 检测。
加密策略:采用部分加密(Intermittent Encryption)模式,仅加密文件的特定部分以提高速度,同时窃取数据用于双重勒索。
图11:此次泄露事件中包含的技术工程图纸,印证了该组织对制造业数据的窃取偏好(已模糊处理)
4.Solar 团队防范建议
OSI Systems 的失陷警示我们:即便是服务于特勤局和国防部的安全供应商,在面对定向勒索攻击时也存在防御敞口。针对 INC Ransom 的攻击特点,Solar 应急响应团队建议:
1.供应链数据隔离: 涉及政府(如美国特勤局)或关键合作伙伴(如IDSS)的合同与技术文档,应存储于物理隔离或逻辑隔离的高密级网络区域,严禁与普通办公网(OA)混用。
2.收敛远程访问暴露面: INC Ransom 极度依赖 RDP 和 Citrix 等远程服务进行初始入侵。企业应强制关闭非必要的对外端口,对必须开放的服务实施 MFA(多因素认证)并限制访问 IP 源。
3.强化横向移动监测: 攻击者在使用 Impacket 等工具进行内网游走时会产生特定的流量特征。企业应部署流量分析系统(NDR),重点监控非业务时间的异常 SMB 连接和管理员账号登录行为。
4.建立数据防泄露(DLP)机制: 针对 CAD 图纸、PDF 合同等敏感文件格式,部署终端 DLP 策略,防止大量数据被打包外发至 Mega、DropBox 等网盘服务。
结语:当安检设备的制造者自身变得不再安全,供应链信任体系便面临严峻考验。OSI Systems 事件并非孤例,它是全球高价值制造链条在勒索威胁下脆弱性的缩影。
