全文共11566字,阅读大约需23分钟。
2023年全球汽车网络安全报告
推荐阅读
【公益译文】2023年全球汽车网络安全报告(一)
05. 合规性检查
在智能出行生态系统中建立信任
实施UNECE WP.29 R155和ISO/SAE 21434
为统一网络威胁防护方法,许多汽车OEM厂商及其供应商开始采用WP.29 R155管理网络安全管理系统(CSMS)和型式认证、WP.29 R156管理软件更新管理系统(SUMS)以及ISO/SAE 21434标准管理道路车辆-网络安全。
2022年,美国国家公路交通安全管理局(NHTSA)修订了其发布的行业领导者最佳实践指南。这是欧盟网络安全局(ENISA)及其成员贸易协会Auto ISAC在过去几年中发布的一系列指南中的最新版本。
需要注意的是,R155和ISO/SAE 21434都没有提供具体的解决方案和确切流程,而是强调实施高标准网络安全分析的重要性。这些指南概述了流程,明确了风险分析和响应目标,要求在从开发、生产到后续阶段的全周期内考虑网络安全威胁和漏洞。
UNECE WP.29概述
WP.29法规的主要组成部分
WP.29法规适用的车辆类型
车辆根据分类分别受R155、R156或两者的监管。
监管对智能出行生态系统的影响
这些法规、标准和指南旨在提高网络安全水平,为客户带来更好的安全保障,同时确立全行业统一的术语、指南、目标和范围。制造商需要灵活实施创新的网络安全方法并不断改进。
ISO/SAE 21434以ISO 26262道路车辆—功能安全标准为基础,要求汽车OEM厂商和供应商在车辆的整个生命周期中实施网络安全。该标准强调采用“安全始于团队”的思维,并为产品开发和生产的每一环节以及后续阶段制定了工程要求。
R155要求OEM厂商在车辆生命周期的各个阶段实施、维护威胁分析与风险评估(TARA)。他们还须与自己的一、二级供应商共同制定针对未来攻击的处理和防护流程。该法规适用于OEM厂商,但因为CSMS包括整个价值链,所以也适用于供应商。R155适用于在参加1958年UNECE交通协议和公约的54个国家运营的OEM厂商。
按照R155,OEM厂商和供应商能够更准确地识别、更有效地应对与新兴车辆架构、出行服务和网联车辆生态系统相关的安全风险。这些威胁主要存在于:
• 与行驶车辆相关的后端服务器
• 车辆的通信方式
• 车辆的更新程序
• 可能导致网络攻击人类的“无心之失 ”
• 车辆的外部连接和链路
• 车辆数据/代码
R155法规在汽车网络安全的实用方法以及整体方法上独有独特性。在实用性上,给出了威胁的具体事例以及具体的缓解措施;在整体性上,提供了流程和治理方法以及IT、产品、OT和物联网视角。
该法规明确强调了“流程”一词,目的是为网络安全架构提供指导,而不涉及具体的技术规范。当今的汽车网络环境多样且动态,僵化的技术措施只会起到反作用。该法规遵循技术中立原则,旨在给予OEM厂商一定的灵活性来确定自己的网络安全措施。
2022年,全球OEM厂商都采用了正确的决策方向。UNECE 法规以及ISO/SAE 21434标准已达到临界规模,正在改变世界各地的业务运营。OEM厂商与供应商和网络安全公司密切合作,支持行业合规和认证工作,建立健全的网络安全治理架构和测试流程。
为了促进OEM厂商和供应商之间的合作,欧洲汽车制造商协会(ACEA)和欧洲汽车供应商协会(CLEPA)于2022年10月与Auto-ISAC联手,创建了一个欧洲汽车网络安全中央信息共享中心。
与ISO/SAE 21434建立长期信任
WP.29法规和ISO/SAE 21434标准的一个关键区别在于,后者为OEM厂商及其供应商提供了计算资产风险的完整流程,并提出了评分和确定漏洞修复优先级的建议方法。
该标准提供了一个结构化的网络安全框架,将网络安全视为车辆整个生命周期(从概念阶段到停用)中不可或缺的一个工程组件。
此外,根据ISO/SAE 21434标准和R155 CSMS要求,OEM厂商应在车辆下线后维护vSOC,进行长达10多年的持续监控。
2022年发现了151个新CVE漏洞,利益相关者必须持续评审和实施防护技术,防止自己的产品中存在已知漏洞和未来可能出现的未知漏洞。
ISO/SAE 21434和WP.29携手合作,为全球范围内的车辆提供保护。
R155与实际威胁是否一致?
Upstream公司的研究团队分析了2022年发生的公开报道的汽车网络事件,将它们与R155附录5中列出的七种威胁进行关联。按R155威胁与漏洞分类统计的2022年发生的网络事件:
监管格局发生变化
随着智能出行生态系统的发展和新应用程序及服务的推出,立法者和监管机构也在考虑制定新法规的紧迫性。
2021年8月,拜登总统签署了一项行政令,设定了一个雄心勃勃的目标:到2030年,美国的电动汽车销售份额将达到50%。2022年,拜登政府通过《两党基础设施法》为电动汽车充电设施提供了75亿美元资金,目标是建立有史以来第一个包括50万个电动汽车充电桩的全国性网络。
2022年,欧盟立法者和加州监管机构在“零排放”上更进一步,批准自2035年开始禁止生产化石燃料汽车。
世界各国政府均在推动这一转型,再加上软件定义汽车的快速增长,立法者和监管机构逐步意识到汽车、基础设施和消费者隐私面临的网络安全风险,开始制定新法规加以应对,包括自动驾驶汽车法规。
2022年3月,中国工业和信息化部发布了《车联网网络安全和数据安全标准体系建设指南》,强调要加强网联汽车和智能出行的标准和技术要求,为保护中国车联网网络提供了路线图。
鉴于自动驾驶的迅速普及和V2X风险的不断增长,该指南为2023年和2025年设定了具体的监管目标。
在美国,加州公共事业委员会(CPUC)为通用汽车公司的Cruise子公司授予了无人驾驶部署许可证,并于2022年6月在旧金山正式开始向无人驾驶出租车收费。该许可证对最高速度、运营时间和特定区域进行了限制,将交通频繁的重型铁路道口和有轻轨交通的街道排除在外。
在日本,国家警察厅(NPA)宣布了一项计划,将于2023年4月将4级自动驾驶纳入交通法。立法框架于2022年4月确立,当时日本政府通过了一项法案,为下一代出行引入了新规则。
修改后的交通法将允许无人驾驶汽车在全国各地的公共道路上行驶,只要各县公共安全委员会允许。当然,这需要满足一些条件,如采用远程监控、位置验证和网络攻击防护措施等。
“维修权”法规也在不断演变,可能会引入新的安全和网络安全风险。2022年2月,美国立法机构提出了两项不同的“维修权”法案。《2022年维修自由法案》(H.R.6566)和《汽车行业公平和专业维修权法案》(H.R.6570)旨在确保消费者能够在独立网点维修车辆、电子设备和农用设备。在过去12个月里,这两项法案都没有取得其他进展。
在缅因州,独立汽车修理厂老板和员工等人组成联盟,开始为全州公投收集签名,目的是在2023年11月为此进行投票。他们要求汽车制造商向缅因州的独立修理店提供无线维修和诊断信息。
该倡议与马萨诸塞州选民2020年投票通过的一项倡议类似,后者将车辆数据的访问权限开放给独立修理店,以应对日益复杂的汽车技术。目前,就马萨诸塞州的这项法律,OEM厂商向联邦法院提出异议,企图阻止其实施。
2022年10月,通用汽车向联邦法官表示公司无法遵守这项法律,因为该法律带来了安全和网络安全风险,设定了一个无法达成的时间表,还与一些联邦法律相冲突。为了避免违法,斯巴鲁和起亚禁用了在马萨诸塞州注册的新车的远程通信系统和相关功能。
在澳大利亚,新的《机动车信息计划(MVIS)》于2022年7月1日生效,要求OEM厂商向独立修理店提供服务和维修信息,相关价格不得超过公平市场价值。
道路安全一直是推动新法规出台的一大主要因素,而新法规可能会对网络安全产生直接影响。2022年1月,联合国欧洲经济委员会宣布就商用车紧急制动加强管控(联合国第131号法规)。新规定预计最早将于2023年第一季度出台,将强制所有重型车辆使用自动紧急制动系统(AEBS)。联合国第133号法规的拟议修订内容旨在保障高速公路和市区安全,要求重型车辆配备AEBS,防止与同车道前车发生追尾碰撞,在检测到行人时能有效应对。新规定还对停用AEBS提出了限制条件,要求该系统在15分钟内自动重新启用。
联合国第131号法规的此次修订可能会带来网络攻击风险,攻击者可能会操控自动紧急制动系统,在该系统停用15分钟后无法再次启用。OEM厂商应考虑进行监控,发现单辆汽车以及整个车队的启用和停用异常问题。
2022年,Upstream的AutoThreat® PRO研究人员发现,有威胁主体和车辆消费者在深网/暗网中打探消息,意图篡改、控制和移除车中的AEBS传感器。
讨论篡改车中的传感器时通常涉及交换非官方文件和操作说明。
此外,这种信息交换可能会被黑帽攻击者或骗子利用,在暗网论坛中出于恶意目的分享这些敏感信息。传感器和ECU篡改文件若包含恶意代码、间谍软件或勒索软件,存在很大的网络安全隐患,可能导致车辆无法保修。
NHTSA网络安全最佳实践
美国国家公路交通安全管理局(NHTSA)近期发布了最新的行车网络安全最佳实践。这些准则不具有约束力,目的是揭示不断演进的攻击方法,表明减轻整个生态系统的网络安全风险已迫在眉睫。
整个汽车行业网络安全实践的标准化,如UNECE R155,以及NHTSA的《现代汽车的网络安全最佳实践》的发布,表明政府机构意识到保护车辆的重要性,开始主动应对越来越高的汽车攻击风险。
该文件最初于2016年发布,修订后考虑了新的行业标准和研究成果,并合入了从实际发生的事件中获得的知识以及关于2016年和2021草案的意见和建议。NHTSA持续评估网络安全风险,根据机动车及其网络安全的发展情况更新最佳实践。
NHTSA建议采用分层网络安全方法,该方法基于美国国家标准与技术研究院(NIST)网络安全框架的五大功能(识别、保护、检测、响应和恢复),包括:
针对关键控制系统和敏感信息,基于风险进行重点保护
及时发现并快速响应潜在威胁和事件攻击发生后快速恢复
推动整个行业吸取经验教训,包括有效的信息共享
更新后的指导方针强调了网络安全保障与安全之间的联系,明确表示,随着汽车行业的日益网络化,安全工程师和安全保障利益相关者也应考虑攻击者操控信号的能力。
NHTSA的最新建议在结构和流程上参考了ISO/SAE 21434,同时也受到R155的影响,提及了对远程攻击的防护。
NHTSA的指导方针强调了合作对于安全保障的重要性,建议相关企业加入Auto-ISAC,在行业内有效分享信息。Upstream对此表示支持。作为协作社区成员,我们维护着Upstream AutoThreat® 情报网络事件库,并在年度报告中分享我们的看法。
Upstream还很荣幸地成为了Auto-ISAC和ASRG的合作伙伴和赞助商,与其他成员共享行业知识,形成网络安全最佳实践。
车辆的数据和隐私立法已是大势所趋
网联汽车引发了独特的数据隐私和安全问题,OEM厂商和监管机构必须解决这些问题。车辆产生的大部分数据为个人数据,大多数消费者认为需要立法保护他们的数据。世界各地的监管机构注意到了这一点,开始制定以消费者为中心的车辆数据隐私和安全标准。
在美国,管理数据隐私的监管机构联邦贸易委员会(FTC)和国家公路交通安全管理局(NHTSA)倡导行业自律,但各州采用的方法截然不同,还有许多州干脆还没开始行动。到目前为止,只有少数几个州颁布了专门针对网联车辆的数据隐私法,更多的州在相关立法上踯蹰不前。此外,有的州可能会选择在综合性隐私法案中覆盖网联车辆的数据问题。
将于2023年生效的第24号提案《加州消费者隐私法案》(CPRA)就是一个典型的例子。CPRA禁止汽车制造商和保险公司未经消费者许可使用精确的地理定位。
继CPRA后,弗吉尼亚州出台了《消费者数据保护法案》,科罗拉多州出台了《消费者隐私法案》,这两项法案也将于2023年生效,预计还会有六个州紧随其后。
在欧盟,监管机构开始为数据和人工智能制定新的监管框架,这将对汽车行业产生重大影响。
例如,最近提议的《数据法案》提出了公平和创新的数据经济措施,以及关于获取车辆数据、功能和资源的具体规定。欧盟委员会目前正在对这些规定进行评估。
《数据法案》允许联网设备的用户访问自己的数据,亦可与第三方共享这些数据,以获取售后服务或其他数据驱动的创新服务,从而确保数字环境的公平性,促进数据市场竞争,为数据驱动的创新创造机会。
2022年3月,欧盟委员会正式启动公众咨询,号召民众为影响评估提供证据,最终收到了来自行业利益相关者、倡议组织和相关人士提交的154份报告。欧盟委员会已于2022年第四季度完成了对这些报告的回复。
自动驾驶和网联车辆的数据及隐私立法已是大势所趋。2023~2024年,美国和欧盟市场预计会出台新法规,要求由消费者决定是否加入,或消费者最起码可以选择不加入。随着法规的不断发展,OEM厂商需要就自己的数据隐私和安全策略作出战略决策,最大限度地提高互信、合规性和消费者保护力度。
电动汽车充电设施的新标准开始出现
随着电动汽车数量的不断上涨,围绕电动汽车充电桩和充电设施的新标准开始出现。
电动汽车充电标准将重点针对两方面内容:一方面,要求充电桩具有用户友好特性,便于访问,可靠性高;另一方面,管理日益增长的电力需求。
英国正在牵头实施《2021年电动汽车(智能充电桩)法规》,该法规于2022年6月30日生效,适用于家庭及工作场所的私人充电桩。
英国法规规定,充电桩必须满足以下要求:具有智能功能,如需求侧响应服务;电力供应商互通性;无网络充电能力;增强的安全功能;充电数据更为透明的计量系统;默认非高峰充电时间表;随机延迟以防止需求激增;合规声明;保存十年的销售记录。
该法规的附表1中列出了新的网络安全要求,于2022年12月30日生效。充电桩会预置上述设置,但车主可以根据自己的喜好进行调整。
在美国,交通部与能源部合作,为“国家电动汽车基础设施(NEVI)方程式计划”资助的项目提出了最低标准和要求。
拟议的美国标准和要求将适用于电动汽车充电设施的安装、运营和维护;电动汽车充电设施的互通性;与电动汽车充电设施一并获得、安装或运营的交通控制设备或现场标志;数据及其提交格式和时间表;电动汽车充电设施的网络连接;通过地图应用程序提供的电动汽车充电设施位置、定价、实时可用性和可访问性等方面的公开信息。这些标准要求各州按照《州电动汽车设施部署计划》实施物理和网络安全战略。
此外,2022年10月,国家网络总监办公室(ONCD)主办了电动汽车和电动汽车充电设施网络安全高管论坛,与政府和私营部门领导人(包括OEM厂商、零部件制造商、电动汽车充电设施制造商)探讨电动汽车和电动汽车充电设备的网络安全问题。考虑到新的网络风险不断出现,论坛重点探讨了建立“共享生态系统”的必要性以及是否需要制定针对电动汽车充电设施的新标准。
尽管欧盟和美国已同意制定电动汽车充电的统一标准,但进展缓慢。2022年10月,欧洲议会投票通过了《替代燃料基础设施条例》草案,提出了替代燃料基础设施部署的强制性国家目标,以及对电动汽车充电桩的最低要求。
06. 深网/暗网中的汽车及出行威胁
为汽车和出行生态系统的利益相关者提供有效网络威胁情报
何为深网和暗网?
许多人认为互联网是全球性的扁平结构,实际上,它有多个层次,其中某些层次未被索引。互联网主要可以分为三个层次:明网、深网和暗网。访问各层网络都需要不同的工具和专业知识。例如,在暗网论坛上,用户必须知道地址,使用特殊的浏览器,一般还要向网站管理员展示熟悉某些领域才能访问。
互联网的第一层最小,也最为大家所熟知,被称为明网或表层网络。在这部分,信息被主流搜索引擎索引,方便高度依赖这些信息的用户进行访问。
明网
• 汽车及网络新闻
• 经过认证的研究人员的公开博客/帖子
• 学术或研究论文
• 汽车发烧友/极客论坛
• 社交媒体
• 代码分享网站
• 文件分享网站
互联网的第二层是深网。搜索引擎没有对这部分网络上的数据进行索引,原因有两种:(1)网络位于付费墙后面,需要登录凭证:(2)网络所有者禁止网络爬虫进行索引。对于普通人来说,深网包括私人社交媒体群组、付费内容、会员网站和机密企业网页。对于黑客来说,深网包括图像板,提供的是挑衅性、游走在非法边缘的匿名内容。深网占所有互联网网页的96%。
深网
• 私人社交媒体群组
• 私人消息应用程序
• 粘贴网站
• 有关汽车调校的秘密论坛或黑客论坛
互联网的最下一层是暗网,这里聚集着恶意活动、犯罪和窃取的数据。顾名思义,暗网躲在暗处,避免被人注意,要求用户事先知道如何访问所需信息。论坛或页面通常由版主管理。由于缺乏透明度,再加上论坛中的信息类型,暗网非常可疑。
暗网
• 恶意粘贴网站
• 非法市场
• 图片分享论坛
• 封闭式黑客论坛
• 非法雇佣服务
• 存在潜在恶意主体的合法平台,如Tor、Telegram等
为了在暗网上保持匿名,大多数暗网黑客使用Tor浏览器或代理服务器。一种名为“代理链”(Proxychain)的工具可用于链接代理服务器(通常3~5台服务器)。这种情况下,攻击包会通过多台代理服务器。存在竞争关系的国家会选择使用代理服务器,因此,一国无法与另一国共享安全信息(例如代理日志),这样,就更难判断谁是黑客了。
2022年,Upstream的AutoThreat®研究人员发现,与2021年相比,针对OEM厂商和供应商的深网/暗网相关信息增加了35%。Upstream的研究表明,2022年网络论坛上与汽车相关的讨论出现大幅增长,大多与针对现代汽车和软件组件的攻击相关。此外,Upstream发现了专门攻击汽车行业和出行生态系统的新威胁主体。
深网/暗网中的活动
在深网/暗网上,用户参与活动、分享内容的方式多种多样。深网/暗网论坛、市场、移动消息应用程序和粘贴网站提供了与汽车相关的各种内容。
通常,个人依靠网络论坛来获取OEM厂商不愿与消费者分享的信息,利用这些信息私自修复车辆或操控系统。此外,深网/暗网市场通常违反制造商的条款和协议,销售汽车零部件、芯片、软件等物品。许多车主进行此类操作时并不了解篡改高度复杂的汽车技术时存在的隐患。
这些活动不仅影响汽车利益相关者,还可能影响保险公司。车主篡改车辆时,可能会上报看似合法的虚假信息。极端情况下,威胁主体对车辆授权数据进行逆向工程,获取OEM厂商或保险公司的服务器访问权限。
深网/暗网上的最热话题:
论坛
深网/暗网中存在汽车相关论坛,涉及芯片和发动机调校、信息娱乐系统破解、逆向工程、车辆软件破解、遥控钥匙修改、防盗装置破解和汽车软件交换。此外,与汽车相关的黑客攻击也会出现在一般的黑客论坛中。
这些论坛上充斥着各种信息、见解,人们频繁讨论黑客攻击和软件操控方法。ECU调校、信息娱乐系统入侵、源代码、数据泄露、汽车入侵工具、未授权个人教程等都是经常讨论的热门话题。
为了省钱或主张维修权,经常会出现成千上万与自动编程车辆相关的问题和兜售信息。此外,刷ECU教程、指南、软件和调校文件演示也唾手可得。
2022年6月,Upstream的AutoThreat® PRO团队发现,在一个热门深网汽车论坛上,有人兜售适用于各OEM厂商的破解版诊断软件的远程安装说明。
市场
暗网市场是通过Tor或I2P等浏览器运行的商业网站,基本可视为黑市,涉及毒品、武器、网络武器、常规武器、被盗数据、伪造文件等非法货物的经纪交易。用户发现市场后,需要在网站上注册,然后才能浏览商品信息。
有些汽车相关的暗网市场商品目录提供与汽车相关的“产品”和服务,如伪造文件、汽车应用程序和智能出行服务(如OEM连接的汽车服务、共享出行服务)的用户凭证等。
在深网/暗网中发现了许多汽车相关威胁方面的讨论,包括:
与信息娱乐系统入侵、控制器局域网(CAN)总线逆向工程、芯片调校和软件攻击或非法升级相关的说明和指南
出售或公开数据泄露事件中被盗的OEM相关信息和凭证
讨论和销售车辆盗窃或改装工具,包括钥匙信号采集器、遥控钥匙编程器、GPS干扰器、雷达探测器等
与汽车共享或拼车账号相关的攻击或欺诈
出售或公开数据泄露事件中被盗的OEM相关信息和凭证
销售假驾照或汽车保险
2022年7月,Upstream的AutoThreat® PRO团队发现,有电动汽车充电消费者的登录凭证在一个热门暗网市场出售。黑客使用信息窃取器,获取了存储在网络浏览器中的登录数据,进而窃取了这些凭证。出售凭证的威胁主体长期以来活跃在该市场,已出售了数百条日志。
消息应用程序
随着在线活动向移动设备转移,移动消息应用程序越来越多地用于非法活动。
黑客常常使用Telegram、Discord、Signal和WhatsApp等主流消息应用程序讨论汽车攻击方法、出售窃取的信用卡、账号凭证、漏洞利用工具、泄露的源代码和恶意软件。这些应用程序已成为秘密的、难以搜寻的暗网论坛的替代品。
2022年1月,某勒索软件Telegram频道公布了一家主流汽车OEM供应商被泄露的数据,包括机密的客户协议。
2022年3月,一个专注于Linux漏洞利用工具的Telegram频道发布了漏洞利用细节,或会影响数家OEM厂商。
深网/暗网中的威胁主体
1. 安全研究人员
安全研究人员利用自己的技术专长来发现组织或行业内的网络安全漏洞。他们需要掌握该领域的最新数据、趋势和发展情况。
许多安全研究人员会将自己的研究成果和新发现发布在开源代码库和GitHub等用于软件开发的互联网托管服务平台上。研究通常包括用于控制车辆的工具包和漏洞利用工具。
安全研究人员通常是白帽人员,经常在公开的开源平台上发布自己的知识。具有恶意的威胁主体可能会滥用他们分享的知识。
2022年5月,NCC集团的一名安全研究员发现了一起针对美国电动汽车OEM的攻击,攻击者利用OEM无钥匙进入系统使用的BLE协议中的漏洞进行中继攻击。
2022年6月,上海某集团软件与系统安全团队的安全研究人员在GitHub上发布了一个应用程序。该程序利用了一家美国电动汽车OEM厂商的车型及其手机钥匙中发现的几个安全缺陷。此外,利用BLE协议,该程序还能实现近距离中间人攻击,使攻击者轻松控制车辆,在一分钟内完全解锁、启动或盗窃车辆。
2. 欺诈业务经营者
通常,欺诈业务经营者在深网上向车主出售诊断工具和软件、芯片调校器和里程数修改服务。
深网上最受欢迎的一项欺诈服务是里程数修改,正式名称为“里程表欺诈”,即断开、重置或修改车辆的里程表,改变显示数字。
据美国国家公路交通安全管理局(NHTSA)估计,在每年售出的车辆中,超过45万辆车的里程数被动了手脚,给美国购车者造成10多亿美元的损失。
2022年3月,在英国深网汽车论坛上,一位用户应另一位成员的请求,发布了一份文件,其中包含与某德国OEM车型相关的里程表篡改方法的详细信息。经销商级别的诊断工具可以合法在线购买,欺诈业务经营者可以使用这些工具通过OBD端口获得车辆ECU的完全访问权限。
2022年6月,一欺诈业务经营者在某深网汽车论坛上出售远程诊断软件安装包,包括模块和关键编程功能。非法访问诊断软件违反了OEM条款和条件,导致收入损失,泄露了实际使用数据。
3. 黑帽黑客
黑帽黑客指恶意破坏网络安全的黑客。许多黑帽黑客在不同的深网/暗网论坛和市场上活动。汽车黑帽黑客从事各种活动,有些专注于短距离黑客攻击,主要针对远程无钥匙进入系统,目的是窃取车辆;还有些则专注于远距离黑客攻击,主要是利用漏洞。
黑帽黑客在深网/暗网论坛上发布的远距离漏洞攻击包会被其他威胁主体利用,控制车辆系统或使系统崩溃,从而导致包括安全在内的重大风险。
2022年8月,黑帽黑客在某网络犯罪论坛上发布了一个Linux漏洞攻击工具,影响多家OEM厂商。攻击者利用该漏洞可以发起拒绝服务攻击,导致受影响车辆相撞。此外,利用该漏洞,还能对受影响车辆远程运行命令。
4. 汽车发烧友
“汽车发烧友”指对汽车及其工作原理和操作方式具有极大热情的人。许多汽车发烧友活跃在深网上的各个汽车论坛上,提供建议、提问、讨论车辆中发现的问题和漏洞,甚至分享汽车文件或非官方软件更新链接。
汽车发烧友在论坛上发布的信息可能存在风险,原因有两个。首先,恶意威胁主体通常是这些论坛的成员,会立即利用论坛中讨论的漏洞或问题。其次,发布的文件和链接不可信,可能包含恶意软件、间谍软件和勒索软件,或会导致无法保修。
2022年6月,在某汽车发烧友深网汽车论坛上出现了一德国OEM车型的非官方固件更新供用户下载。有些帖子说,音响系统能够被越狱,接受默认OEM配置之外的未经授权和验证的文件。
勒索软件攻击者越来越多地将目标对准汽车供应商
针对汽车零部件供应商甚至电动汽车充电设施的勒索软件攻击正在上升,引起了恶意主体的注意。供应链上的任一环节被攻击都可能导致OEM厂商被入侵。
OEM供应商具有高度的专业性,更换成本非常高,要更换他们并非易事。供应链环节的任何破坏都可能对OEM汽车生产产生负面影响。
为了勒索钱财,攻击者通常会在暗网上维护一个“泄密网站”,在那里发布窃取的数据和组织的敏感信息,并发布有关受害者的帖子。2022年,勒索软件攻击和泄密网站时常成为头条新闻。特别突出的事件包括:
2022年2月和3月,两家日本OEM附属供应商分别遭遇网络攻击,其中一次攻击最终导致OEM生产陷入停顿。2022年2月下旬,一家日本塑料零件和电子元件供应商感染了病毒,在其服务器上发现了勒索信息。此后,日本OEM决定于3月1日暂停日本14家工厂的28条生产线的运营,24小时后恢复生产。
大约一周后,另一家附属供应商也遭到网络攻击,影响了其在德国的运营。声称对此次攻击负责的勒索软件组织在一个泄密网站上发布了攻击细节和窃取的数据集样本。该勒索软件组织还威胁要在暗网上发布这些数据。根据泄密网站提供的信息,该组织拥有价值1.4兆字节的数据,包括157,000多份采购订单、电子邮件和草图。
2022年6月,一家日本汽车供应商的美国子公司遭到勒索软件攻击,被迫关闭用于控制生产的计算机设施,采用人工方式进行生产、装运。
2022年8月,黑客组织对一家一级跨国供应商进行了勒索软件网络攻击,威胁公布该公司的数据,除非收到赎金。同年11月,因该公司拒绝支付赎金,该组织在暗网泄密网站上标价5000万美元出售所有信息。
2022年10月,一个勒索软件组织攻击了在英国拥有200多家经销商的大型汽车经销集团,窃取了该公司5%的数据。攻击者还索要了破纪录的5300万英镑赎金,遭到该公司拒绝。
维修权让深网/暗网成为关注焦点
越来越多的车主希望通过其他渠道(而非OEM或经销商的维修店)获得诊断软件和工具来维修车辆。此外,车主们开始黑入自己的车辆,调校发动机、解锁高级功能、修理零件和解决软件问题。
尤其是农用车车主,他们开始攻击拖拉机系统,绕过制造商施加的限制以及数字锁定设置,私自修理自己的车辆。
2022年8月,一台美国OEM拖拉机被黑,为“维修权”运动火上浇油,同时也凸显了“维修权”可能带来的安全影响。在DefCon安全会议上,一位名为Sick Codes的黑客介绍了一种新越狱方法,提供对拖拉机计算机的无限制Root访问权限,可以完全控制拖拉机,使用触摸屏随意更改任何内容。
寻求免费“破解”版本软件的汽车发烧友转向了深网/暗网这个充满危险的庞大而不受控制的生态系统。
从看似安全的网站或论坛下载了需要的软件,车主可能认为自己挖到了宝,还可能以为省了钱和时间,因为不用使用制造商提供的昂贵维修服务。然而,安装来自未知来源的恶意软件,会无意中引入恶意软件、间谍软件和勒索软件。使用未授权软件或入侵汽车以便自己进行维修还可能使保修失效。
深网/暗网活动愈加猖獗
整个供应链需要立即采取行动
汽车相关的安全漏洞、敏感信息泄露等网络威胁时常在深网/暗网上发布、讨论。
2022年,深网/暗网上分享的数据大幅增加。Upstream AutoThreat® PRO网络分析师在未索引的深网/暗网网站上发现了更多与汽车相关的信息。
利益相关者面临的挑战是,在传统的IT威胁情报产品中缺乏网联车辆的专业知识。
针对深网/暗网中的威胁主体,要先发制人,需要定期监测和缓解这些风险。在这一过程中,产品情报和汽车专业知识至关重要。
利益相关者必须监控互联网的这些领域,避免出现严重的安全漏洞。要有效保护网络安全,关键是要了解组织及其产品何时以及在什么背景下被提及,无论是在公网还是暗网。UNECE WP.29 R155法规和ISO/SAE 21434标准都要求收集网络威胁情报和监控漏洞。考虑这些要求时,不能忽略深网/暗网。
通过持续监控深网/暗网,组织可以提高检测能力,在发现漏洞或安全事件后,迅速进行缓解,再行公开。
他们还可以采取预防措施,例如为软件打补丁或更改相关配置。组织应想方设法,最大限度地减少犯罪分子复制和出售已泄露数据的机会窗口,早早向合作伙伴、员工、关键高管和客户发出预警,警惕潜在的利用可能。
但是,传统的IT威胁情报产品中缺乏网联车辆的专业知识,这为OEM厂商、一、二级供应商等出行利益相关者出了难题。
Upstream的AutoThreat® PRO专为出行生态系统构建,覆盖整个供应链,可以克服这些问题。该解决方案收集、分析和传播汽车和智能出行生态系统特有的网络威胁情报,针对各汽车细分市场量身定制,包括OEM厂商、一、二级供应商、网联车辆服务提供商、保险公司等。
通过威胁情报工作,Upstream积极监控深网/暗网,在公众知晓之前就能捕捉到新兴的汽车相关网络趋势和威胁主体。这样,Upstream就能及时发现新漏洞、漏洞利用工具和欺诈操作,防止它们在深网/暗网中广泛传播。
有了正确的网络威胁情报,汽车生态系统利益相关者可以主动实施必要的网络安全措施,防范网络事件。
监管机构和执法部门对暗网采取明确的立场
2022年4月12日,美国司法部宣布查封RaidForums网站,这是网络犯罪分子买卖被泄露数据的热门市场。从2015年开始,RaidForums售出了100多亿份消费记录。该论坛也被用于分享敏感的汽车OEM数据。
美国联邦调查局华盛顿外勤办公室和美国特勤局与欧洲刑警组织网络犯罪联合行动特别工作组以及英国、瑞典、罗马尼亚、葡萄牙和德国当局合作,牵头进行了这场大规模的联合执法行动,逮捕了该网站管理员。
根据美国政府官员的说法,网络犯罪分子因这次行动而失去了主要的收入来源。然而,安全专业人士表示,此次打击对黑客来说只是暂时的挫折,因为他们会找到其他市场转售窃取的数据。
此次行动也向其他暗网市场发出了警告,随着世界各地纷纷打击网络犯罪,它们可能会成为下一个打击目标。
raidforums.com网站上的域名查封通知
· 免责声明 ·
该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的,为业内人士提供参考,促进思考与交流,不作任何商用。如有侵权事宜沟通,请联系[email protected]邮箱。
· 文章信息 ·
发布机构:Upstream公司
发布日期:2023年1月
原文链接:https://info.upstream.auto/hubfs/Security_Report/Security_Report_2023/Upstream_2023_Global_Automotive_Cybersecurity_Report.pdf?utm_term=Download&utm_campaign=Upstream-GACR-2023&_hsmi=239515156&_hsenc=p2ANqtz--EICSYSkjzVB5wpOrPjxozr97S24x07UpdTY9_R77IiKoIAiOMsv486L82bGlMd3rYX6tdjcrLDc0r1TVsBkX0I3NyUg&utm_content=%5BDrip%5D_2023_Report-Email%231&utm_source=email
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。