事情始于2024年6月19日，這是美國(guó)的聯(lián)邦假日，慶祝1865年奴隸制度的結(jié)束。因?yàn)榉偶?，所?S店工作人員預(yù)計(jì)這一天會(huì)門庭若市，因?yàn)槟曛袑儆谝荒甑耐尽?/p>

黛布拉·格里菲斯（Debra Griffith）在這個(gè)行業(yè)已有40多年，主要在某家4S店內(nèi)辦理保修索賠業(yè)務(wù)。這一天，她登錄公司電腦，發(fā)現(xiàn)系統(tǒng)不工作。

格里菲斯說(shuō)，之前從沒發(fā)生過(guò)這類事。她當(dāng)時(shí)想，“這到底是怎么回事？”

CDK有一個(gè)服務(wù)門戶，如果全美范圍內(nèi)出現(xiàn)問(wèn)題，他們會(huì)在上面發(fā)消息。格里菲斯去官網(wǎng)看了下，沒有任何異常消息。

由CDK Global開發(fā)的經(jīng)銷商管理系統(tǒng)（DMS，Dealer Management System）出了問(wèn)題，這家公司為北美約15000家經(jīng)銷商提供系統(tǒng)服務(wù)，是這個(gè)領(lǐng)域的老大，占據(jù)了50%左右的市場(chǎng)份額。美國(guó)絕大多數(shù)經(jīng)銷商都使用 CDK Global的系統(tǒng)來(lái)跟蹤整車購(gòu)買、零件采購(gòu)、保修信息。

系統(tǒng)中斷無(wú)人解釋的數(shù)小時(shí)后，格里菲斯接到了同行的電話。她告訴格里菲斯剛接到CDK的電話，他們說(shuō)系統(tǒng)被黑客攻擊了，讓她退出系統(tǒng)，并讓她馬上告訴老板，通知每個(gè)工作人員都立刻退出系統(tǒng)。

CDK于當(dāng)天關(guān)閉了系統(tǒng)以應(yīng)對(duì)黑客攻擊，導(dǎo)致北美各地經(jīng)銷商的日常經(jīng)營(yíng)陷入停頓，因?yàn)樗麄儫o(wú)法訪問(wèn)庫(kù)存，客人無(wú)法提車，格里菲斯也無(wú)法處理任何保修索賠。經(jīng)銷店的員工開始手寫合同并在紙上記錄換油情況。少數(shù)人不得不依靠直覺做出一些相當(dāng)關(guān)鍵的決定，比如試圖判斷買家的信用是否足夠好，能否讓對(duì)方提車。

夏季對(duì)于汽車行業(yè)來(lái)說(shuō)是一個(gè)重要時(shí)期。

7月2日美國(guó)國(guó)內(nèi)公布的數(shù)據(jù)顯示，全國(guó)銷量增長(zhǎng)放緩。豐田官方數(shù)據(jù)顯示，6 月份銷量較去年同期下降 1.2%，起亞則下降 6.5%。一些公布季度收益的公司第二季度的銷售額略有增長(zhǎng)。通用汽車的銷售額增長(zhǎng)了 0.6%。但與去年 19% 的增幅相比，這一增幅并不大。

年中是各大經(jīng)銷商沖半年銷量目標(biāo)的階段，CDK導(dǎo)致經(jīng)銷商DMS系統(tǒng)中斷，大部分的北美經(jīng)銷商從6月19日就無(wú)法正常運(yùn)營(yíng)，原本以為幾天就能恢復(fù)，CDK官宣預(yù)計(jì)7月4日才能恢復(fù)，整整16天，對(duì)經(jīng)銷商來(lái)說(shuō)損失巨大。

最終，美東時(shí)間7月1日下午4點(diǎn)左右，系統(tǒng)開始恢復(fù)，但也不是全面恢復(fù)。

究竟發(fā)生了什么

有消息稱，這是一個(gè)名為BlackSuit（黑西裝）的經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)犯罪組織入侵了CDK 系統(tǒng)，就是我們所謂的黑客攻擊。

他們索要數(shù)千萬(wàn)美元的贖金。據(jù)外媒報(bào)道，CDK已同意支付這筆贖金，因?yàn)镃DK長(zhǎng)時(shí)間離線的后果將對(duì)汽車行業(yè)造成毀滅性打擊，部分經(jīng)銷商也已對(duì)CDK提出了起訴。

安全專家稱，在BlackSuit成為BlackSuit之前，他們?cè)苑Q為Royal（皇家）。

該組織在一年前發(fā)動(dòng)了一次網(wǎng)絡(luò)攻擊，導(dǎo)致達(dá)拉斯市關(guān)閉了計(jì)算機(jī)系統(tǒng)，其中包括當(dāng)?shù)叵啦块T用來(lái)跟蹤緊急情況的系統(tǒng)。當(dāng)時(shí)四天時(shí)間內(nèi)，達(dá)拉斯的消防員只能依靠地圖上的磁鐵來(lái)跟蹤事件并管理他們的消防隊(duì)員。

Royal的一些成員來(lái)自有史以來(lái)最臭名昭著的黑客組織之一Conti，這意味著 BlackSuit這個(gè)組織里有幾位“大?！?。

Conti于2019年首次被發(fā)現(xiàn)，現(xiàn)已成為網(wǎng)絡(luò)世界中最危險(xiǎn)的勒索軟件之一，并以其在目標(biāo)系統(tǒng)中加密和部署的速度快而聞名。這個(gè)組織被認(rèn)為是流行的Ryuk勒索軟件家族的變種。據(jù)美國(guó)FBI統(tǒng)計(jì)，Conti針對(duì)全球發(fā)起了400多次網(wǎng)絡(luò)攻擊，其中四分之三的目標(biāo)位于美國(guó)，勒索金額高達(dá)2500萬(wàn)美元。Conti也是當(dāng)前最貪婪的勒索團(tuán)伙之一。

他們是一群經(jīng)驗(yàn)豐富的黑客和敲詐者，行事低調(diào)，做事認(rèn)真，他們看起來(lái)好像不想破壞任何人，他們只是想做生意。

這次對(duì)CDK系統(tǒng)的入侵，BlackSuit采取了雙重勒索的策略。他們關(guān)閉服務(wù)并威脅要在網(wǎng)上發(fā)布用戶數(shù)據(jù)。

BlackSuit本質(zhì)上是向任何愿意付費(fèi)的人提供網(wǎng)絡(luò)攻擊服務(wù)，他們的目標(biāo)一般針對(duì)公司或圖書館等。

消息人士告訴外媒，一般來(lái)說(shuō)，BlackSuit要求的贖金在30萬(wàn)美元至500萬(wàn)美元之間。此次BlackSuit向CDK索要贖金達(dá)數(shù)千萬(wàn)美元，CDK計(jì)劃支付。到目前為止，尚不清楚 BlackSuit 是代表自己還是代表其他人辦事。

BlackSuit此次是如何獲得CDK系統(tǒng)的訪問(wèn)權(quán)限？據(jù)外媒報(bào)道，黑客員工可能是假扮員工，誘騙客戶幫助他們進(jìn)入公司系統(tǒng)。黑客行為不一定是利用代碼漏洞，他們只需假裝自己是員工，然后通過(guò)這種方式獲得訪問(wèn)權(quán)限即可。

安全分析師表示，CDK并不是第一個(gè)成為BlackSuit策略受害者的組織，最近的受害者還包括堪薩斯城警察局和佐治亞州的一個(gè)學(xué)區(qū)。

CDK是否支付了贖金

外媒最新的報(bào)道中，并未提及CDK最終是否支付了贖金，或許這是敏感話題，媒體即便知情也不便報(bào)道。

CDK是一家擁有50年歷史的面向經(jīng)銷商的軟件服務(wù)公司，他們?cè)O(shè)計(jì)的軟件幫助經(jīng)銷商管理幾乎一切日常事務(wù)，從安排預(yù)約到跟蹤庫(kù)存，到最終交易完成。他們?cè)诒泵澜跆幱趬艛嗟匚?，這也使CDK獲得了可觀的利潤(rùn)。這家公司兩年多前被資產(chǎn)管理公司Brookfield以83億美元收購(gòu)。

如果CDK這次支付了千萬(wàn)美元的贖金，是否會(huì)開創(chuàng)一個(gè)不好的先例？

關(guān)于這個(gè)話題，有人認(rèn)為支付贖金只會(huì)更多地鼓勵(lì)未來(lái)的黑客，但也有人支持支付贖金，他們認(rèn)為如果系統(tǒng)遲遲不能恢復(fù)，公司產(chǎn)生的經(jīng)濟(jì)損失更大。就這個(gè)問(wèn)題，美國(guó)內(nèi)部并沒有達(dá)成共識(shí)，這似乎已經(jīng)成為網(wǎng)絡(luò)威脅社區(qū)爭(zhēng)論的焦點(diǎn)。但外媒認(rèn)為，繼續(xù)支付贖金從長(zhǎng)遠(yuǎn)來(lái)看是具有破壞性的。

CDK黑客事件給過(guò)度依賴某款軟件敲響了警鐘。

雖然目前系統(tǒng)已在逐步恢復(fù)，CDK同時(shí)面臨此次事件引發(fā)的諸多訴訟，部分經(jīng)銷商指控其未能保護(hù)客戶和經(jīng)銷商員工，網(wǎng)絡(luò)攻擊使他們的個(gè)人信息面臨風(fēng)險(xiǎn)。其競(jìng)爭(zhēng)對(duì)手——考克斯汽車/經(jīng)銷商跟蹤公司、雷諾茲和雷諾茲以及 Tekion 等或許有機(jī)會(huì)了。

此類事件也同時(shí)發(fā)生在中國(guó)國(guó)內(nèi)。

2022年12月10日，蔚來(lái)收到外部郵件，聲稱擁有蔚來(lái)內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索225萬(wàn)美元等額比特幣。

蔚來(lái)在收到勒索郵件后成立了專項(xiàng)小組進(jìn)行調(diào)查與應(yīng)對(duì)，并第一時(shí)間向監(jiān)管部門報(bào)告此事件。

10天后，他們發(fā)布了官方聲明，鄭重承諾，對(duì)因本次事件給用戶造成的損失承擔(dān)責(zé)任。他們譴責(zé)了這一違法犯罪行為，稱“堅(jiān)決不會(huì)向網(wǎng)絡(luò)犯罪低頭”。

李斌在之后的NIO DAY溝通會(huì)上嚴(yán)肅地強(qiáng)調(diào)了公司的立場(chǎng)。

此次CDK事件，幾乎導(dǎo)致全美經(jīng)銷商系統(tǒng)13天的癱瘓，讓人看到網(wǎng)絡(luò)世界的脆弱性以及不安全性，CDK未來(lái)必須花費(fèi)精力重建經(jīng)銷商們對(duì)其DMS和安全性的信任，50年建立起來(lái)的壟斷地位或?qū)⒂兴淖儭?/p>

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明