國家級黑客組織“海蓮花” 攻陷寶馬,汽車工業成APT新目標

國際安全智庫發表於2019-12-06
黑客APT

​【導讀】據外媒報導,有著國家級背景的黑客組織成功滲透了寶馬計算機網路。據專家分析,攻擊者所使用的工具及其行為均指向越南APT組織“海蓮花”。如情況屬實,那麼,繼關鍵基礎設施之後,汽車工業也成為國家級APT組織的重點攻擊目標。


汽車工業也慘遭黑客“毒手”,今年6月寶馬公司被迫進行了脫網


據報導,針對德慕尼黑寶馬汽車公司的攻擊始於2019年春。6月份時,該公司將有關計算機進行了脫網。在近期的一次採訪中,寶馬相關負責人表示:“我們已經對結構和流程進行了進一步防範,可以最大程度減少未經授權的外部人士訪問我們系統的風險,同時,在發生某些事件時,我們能快速進行檢測、重建和恢復。”

值得注意的是,我們發現針對此次攻擊,寶馬並沒有過早反應。國外某IT安全公司的安德烈亞斯•羅爾(Andreas Rohr)給出瞭解釋,“通常情況下,企業一旦發現攻擊者,多半會利用此為線索,對攻擊者進行反監視,以瞭解黑客最大攻擊範圍,以及哪些地方需要進一步妥協,進而實現將攻擊者趕出網路的最終目的。”

國家級黑客組織“海蓮花” 攻陷寶馬,汽車工業成APT新目標


對使用工具與攻擊行為進一步分析,威脅領域最先進“海蓮花”浮出水面


在進一步分析中,我們發現該黑客組織應是從BR Recherche攻擊了計算機。為此,他們設法安裝了一個名為“ Cobalt Strike”的工具,該工具可使攻擊者更方便地遠端監視和控制計算機。與此同時,攻擊者還建立了一個假冒網站,此網站給人造成了隸屬於寶馬泰國分公司的假象。這樣,黑客組織就可以更“自由地環顧”網路,瞭解存在哪些資料夾和檔案,以及哪些使用者已登入,進而鎖定目標資訊。此外,這些步驟還有助於他們在更多計算機上進行擴充套件,從而將攻擊範圍擴大。通過對該黑客組織所使用工具及其行為分析,我們發現這些資料均指向一個名為“OceanLotus”的組織(又名“海蓮花”)。這是一個可以和俄羅斯APT組織Turla相提並論的組織,至少自2012年以來,一直處於活躍狀態,是越南贊助的一支黑客隊伍。

國家級黑客組織“海蓮花” 攻陷寶馬,汽車工業成APT新目標

不止於寶馬,豐田汽車公司也“淪陷”,“海蓮花”瞄準汽車工業為哪般?


多年來,“海蓮花”一直把不同政見者和被越南視為競爭對手或威脅的國家作為攻擊物件。尤其過去幾年,其攻擊了網路安全、製造、媒體、銀行、酒店、技術基礎設施和諮詢相關的公司,竊取了商業機密、機密談話日誌和進度計劃等相關資料。

但IT專家Röcher表示,自2018年底以來,汽車工業也逐步成“海蓮花”的關注焦點。智庫在查閱資料中也發現,不止於寶馬,豐田汽車公司也曾慘遭“海連花”毒手。

今年2月,澳大利亞的經銷商遭到黑客攻擊之後,豐田汽車也再次遭到了黑客攻擊,旗下多家子公司受到影響,包括:豐田東京銷售控股有限公司、東京豐田汽車公司、豐田東京卡羅拉等多家豐田在東京的公司,近310萬豐田使用者的敏感資訊被置於黑客的伺服器內。行業專家普遍將此次攻擊歸屬於“海蓮花”所為,並猜測“海蓮花”組織可能想先攻擊豐田的澳大利亞分公司,進而進入豐田在日本的中央網路。

“海蓮花”瞄準汽車工業到底為哪般?在進一步探究中我們發現,2019年6月越南企業集團Vingroup開設了第一家生產汽車的工廠。而有資料顯示,在越南開始製造汽車時,該組織就開始將攻擊目標聚焦於汽車製造商。


針對“海蓮花”瞄準汽車工業這一趨勢,聯邦憲法保護辦公室發言人表示:“OceanLotus的分組已經變得很重要,我們應該密切注意其發展,特別是其目標是汽車行業時。”


此外,今年夏天,德國汽車工業協會(VDA)也向其成員傳送了一封電子郵件,郵件主題正是:聯邦憲法保護辦公室關於對德國汽車公司可能進行的網路攻擊的警告資訊。 

不止於攻擊關鍵基礎設施行業,某些國家為了其一己私利,持續不斷的不斷贊助APT組織發動網路攻擊。

如今,APT組織的“魔爪”早已伸向更多的重要行業,今天是汽車工業,明天又會是哪個行業呢?


外文參考:

《以汽車工業為目標,寶馬被黑客攻擊》https://www.tagesschau.de/investigativ/br-recherche/bmw-hacker-101.html


本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)

如需轉載,請標註文章來源於:國際安全智庫

國家級黑客組織“海蓮花” 攻陷寶馬,汽車工業成APT新目標

相關文章