By Paul Pajares (Senior Threat Researcher, Automotive)
總部位於美國的一家跨國企業 CDK Global 自 2024 年 6 月 19 日起因遭到BlackSuit 勒索軟體組織的攻擊而造成服務中斷。該公司是汽車軟體提供商,提供超過1萬5000家汽車經銷業者收購、銷售、保修、客戶系統或資料庫的軟體服務,促進汽車經銷商和車廠製造商 (OEM) 之間的無縫連接,從而增強客戶體驗。 CDK 使用開放、通用的技術和應用程式介面 (API),透過經銷商工作流程以統一和轉換從OEM 網站傳輸的客戶詳細資訊、付款估算、即時車輛庫存狀態和銷售文件。這種互連的數據資料系統對於電動車 (EV) 至關重要,並且很大程度上依賴 CDK 這類第三方軟體公司進行經銷商管理。
事件概述
汽車生態系統的互聯性 — 包括依賴互通性整合的元件,特別是透過 API 服務— 開啟並擴大了攻擊面。這種情況需要加強安全策略。例如像是VicOne 與 42Crunch 合作解決日益增加的 API 安全風險。
根據我們在《2023 年VicOne 汽車網路威脅情勢報告》中的調查結果,從2022 年下半年到2023 年上半年,與應用程式和API 相關的事件佔汽車網路攻擊和安全事件的12%,是第三種最常見的類別。報告中也發現,同一時間範圍內,第三方(41%)和供應商(34%)最容易受到網路攻擊,其次是經銷商(16%)和車廠製造商(9%)。
CDK 的服務暫停引發了骨牌效應,致使北美 15,000 多家汽車經銷商陷入癱瘓。事件發生兩週後,CDK 已開始緩慢啟動和恢復,但要完全恢復正常運作可能還需要一段時間。
事件後果
CDK 暫停關閉服務嚴重影響了汽車經銷商和銷售人員,使其無法運作。這起事件影響了數千家汽車經銷商,被認為是汽車歷史上最重大的事件之一。如果中斷服務持續三週,預計直接損失可能達到 9.44 億美元。汽車經銷商的員工不得不依靠筆、紙等手寫方式或以 Excel表單來維持營運。另外,雖然至少有一個合法的汽車平台已為陷入癱瘓的經銷商提供救援服務,客戶還是得面對各式詐騙電話和網路釣魚連結,這些騙子承諾收取費用以加急恢復。對 CDK 軟體服務的依賴導致銷售、新車購買和車輛註冊中斷,嚴重影響了像是 Asbury等主要汽車經銷商。
BlackSuit 勒索軟體組織
截至 2024 年 6 月 26 日,BlackSuit 的受害者名單包括 81 個實體,主要位於美國(66.7%),其他受影響的國家包括英國、加拿大和荷蘭。受BlackSuit 影響的產業包括了製造、教育、醫療保健、建築和 IT 諮詢等行業,其中包括 CDK(儘管該公司尚未被 BlackSuit 列為受害者,可能是因為雙方的談判仍在進行中)。
圖一:截至2024年6月26日BlackSuit勒索軟體組織聲稱的受害者產業分佈圖。
吸取教訓以及建議的預防策略
鑑於最近的這次攻擊,並考慮到眾多汽車經銷商都依賴 CDK 的第三方軟體,有必要討論一些重要的經驗教訓,並為整個汽車供應鏈的提出安全策略,以防範和應對未來可能會遭遇到的事件:
- 系統冗餘和故障轉移機制:CDK 事件顯示出冗餘和故障轉移機制的必要性以防止大規模停機。汽車經銷商對第三方軟體的依賴凸顯出整合這些機制的重要性,也需要確保能透過恢復到備份系統才好最大限度地減少停機時間。
- 資料備份和復原計畫:定期備份並嚴明地執行資料備份是避免資料遺失和損壞的關鍵。建議採用 3-2-1 備份規則:至少備份3份;其中2份用不同的方式備份,另1份則要存放在異地。 CDK據可能向勒索軟體業者支付數千萬美元,這凸顯了透過測試和模擬復原計畫來確保資料完整性和可用性的必要性。
- 簡化的安全稽核和滲透測試:識別和解決漏洞至關重要,特別是當攻擊者利用這些漏洞時。頻繁的安全評估,例如威脅分析和風險評估 (TARA),可以幫助遵守法規和漏洞修復。
- 健全的事件回應計畫:快速、協調的事件回應至關重要。針對汽車系統量身定制的定期事件回應計畫演練和事件後的分析對於提高應變能力和學習至關重要。
- 第三方和供應商風險管理:必須合乎法規要求,嚴格執行規範,以確保相互依賴性和共享資料的安全。評估和管理第三方軟體供應商的風險並確保遵守安全標準勢在必行。
其他策略還包括全面監控網路威脅、員工和合作機構方的安全意識培訓、修補程式管理、網路分段、以及共享事件和資訊的協作努力。
結論
CDK Global 勒索軟體攻擊凸顯了汽車供應鏈中穩健的網路安全策略的重要性。這起事件不僅擾亂了數千家汽車經銷商的營運,也揭露了可被網路犯罪分子利用的安全漏洞。經銷商管理系統對 CDK 等第三方軟體的依賴凸顯了汽車利害關係人對全面安全措施的需求,包括冗餘、資料備份和復原計畫、定期安全審計以及有效的事件回應計畫。
CDK事件的後果已顯示出對業務營運、銷售和客戶信任層面的廣泛影響。在依賴數位系統提供效率和便利的同時,也需要採取積極主動的網路安全方法。透過這一事件獲得的警示並採取上述建議的策略,相信汽車產業可以更好地保護自己免遭受類似攻擊,確保面對網路威脅時的彈性且營運不受影響的連續性。