捷豹路虎遭网络攻击,停产1个月,损失超10亿

 人参与 | 时间:2025-11-26 22:29:07

2025年9月2日  ,捷豹击停捷豹路虎公司发布公告,虎络攻英国三家工厂3.3万名员工从8月底开始暂停上班。遭网9月23日该公司最新公告 ,月损亿停工至少延续到10月1日。失超

根据英国当地媒体分析 ,捷豹击停这种情况很可能持续到11月 ,虎络攻意味着约价值17亿英镑的遭网5万辆汽车无法生产,约1.2亿英镑利润的月损亿流失,利润折合人民币超过10亿。失超

根据捷豹路虎公司官网,捷豹击停信息事件进展如下 。虎络攻

9月2日 ,遭网发布公告受到网络攻击 。月损亿

图片

9月10日 ,源码库失超发布公告可能有部分数据泄露 ,已通知相关监管机构 。

9月16日 ,发布公告生产暂停时间延长至9月24日 。

9月23日 ,发布公告生产暂停时间延长至10月1日。

图片

一 、捷豹路虎遭受攻击分析

一伙自称“Scattered Lapsus$ Hunters”的网络犯罪分子声称对此攻击事件负责  ,他们公布了捷豹路虎SAP系统截图,并表示还部署了勒索软件。

“Scattered Lapsus$ Hunters”采取的攻击手段 ,最可能是APT攻击,这也是源码下载他们之前攻击其他企业的惯用手段 。

什么是APT攻击 ?APT攻击和常规攻击的最大区别是针对性,攻击者会提前几个月,通过公开信息 ,如官网 、招聘信息 、企业社交账号“踩点”。摸清组织架构 、网络布局 、甚至员工习惯 。然后量身定制攻击方案,潜入后不断进行横向攻击,免费模板一点点把核心数据偷走,并在关键时候发起攻击 ,令企业业务停止。

APT攻击常用方式有四种 。

第一是定向钓鱼邮件。攻击者不会群发邮件 ,而是针对特定岗位定制内容。比如针对HR人员 ,伪装成“合作猎头公司”,主题是“候选人简历推荐” ,附件藏有恶意代码,利用HR日常处理简历的习惯突破。模板下载甚至会模仿高管的邮箱后缀 ,发“紧急通知”让员工点击链接“确认工作进度” ,以窃取账号密码  。

第二是供应链攻击。我们日常会使用到很多工具软件 ,如果这些第三方服务商被攻击也会连带中招 。比如攻击者篡改某款常用软件更新包,当更新软件时,恶意代码就会跟着植入。

第三是内网横向攻击 。一旦突破第一道防线 ,比如某员工的办公电脑 ,香港云服务器攻击者就像间谍进了办公楼 ,悄悄往核心区域突破 。他们会用员工电脑里存储的密码 ,比如浏览器保存的内网系统密码 ,登录其他账号 ,甚至破解低权限账号后,升级成管理员权限。

第四是窃取数据 。攻击者往往不会一次性把数据打包传走 ,这样容易触发流量告警,通常是蚂蚁搬家方式把核心数据压缩加密后,拆成小文件传输。高防服务器

二、本次事件反应出捷豹路虎哪些问题

本次事件反应出捷豹路虎三方面问题。

第一是安全防御体系不完善 。比如可能对员工没有定期的安全意识培训,杀毒软件没有做到百分之百覆盖。系统上线的时候很少做安全测试,数据传输没有流量分析工具进行分析。

第二是安全运营体系不完善。比如在攻击者尝试扫描的时候 ,对异常频繁的扫描没有告警和处置。当攻击者进行攻击的时候 ,没有告警 ,对告警能不能做到短时间的应对和处置。安全建设遵循木桶原理 ,可能没有主动的安全扫描和检查 ,发现系统安全的薄弱点 ,不断提升安全水平。

第三是灾备体系不完善 。为什么本次攻击造成停产这么长时间,分析原因很可能是核心系统的数据受到破坏 ,造成业务系统很难恢复 。为什么会这样,肯定是体系化的备份不完善 ,备份数据没有足够的权限隔离 ,甚至没有离线的备份数据。另外 ,本次事件也表明捷豹路虎缺乏体系化的灾备演练 ,出现极端情况的时候,没有快速恢复机制。

三 、如何预防类似攻击

针对类似攻击的特点,要建立一整套体系 ,具体分四个层面落地。

第一,外部防御 ,筑牢大门 。按照纵深防御理念 ,补齐安全产品,做到多层面立体化防御。比如物理层面的门禁 、摄像头。网络层面的防火墙 、流量分析产品 。主机层面的杀毒软件 ,HIDS产品 。应用层面的应用防火墙WAF 。数据层面的数据防泄漏产品等。

另外,安全工具要发挥作用,需要建立安全运营体系 ,对安全工具定期巡检,能够7x24小时响应告警并处置。能够对安全设备的配置不断优化 ,主动的进行安全扫描和测试。不断提升安全水平 ,筑牢安全防线 。

第二 ,内网隔离 ,根据区域隔离  。根据业务把网络分成办公区、工业生产区、研发区 、服务器区等 ,每个区域默认禁止访问。根据需要开白名单 ,并且定期审核。管好账号权限 ,按照最小权限原则赋予权限,比如市场部同事只能访问市场相关数据,不允许访问研发数据。所有操作全程留痕 ,随时可以通过日志追溯。

第三,加强员工安全意识教育  ,避免员工成 “突破口”  。定期组织安全意识培训、钓鱼邮件演练,至少保证每年一次 。鼓励员工主动上报异常情况 ,员工发现可疑邮件、异常弹窗 ,可直接反馈给安全部 ,对有效上报的同事给予奖励,调动全员参与防御的积极性 。

第四 ,做好预案 ,万一发生极端情况能够快速止损 。数据备份与恢复 ,核心数据落实321备份原则,即至少3份数据副本,使用2种不同的备份节奏 ,至少1份异地备份。制定应急预案 ,明确发现攻击后  ,谁负责隔离设备 、谁负责溯源、谁负责上报 。至少半年组织一次应急演练,确保极短时间内能够响应,能够隔离受影响区域。

顶: 53踩: 5242