工业4.0时代保护汽车行业的APT攻击

介绍

汽车行业因其广泛的影响范围（涵盖汽车制造技术和关键运营基础设施）而长期以来一直吸引着网络威胁组织。作为全球最大的行业之一，汽车行业为网络犯罪分子提供了有利可图的间谍活动和经济机会。我们根据 2023 年 1 月至 2024 年 2 月的公共资源进行分析，确定了针对汽车行业各个方面（包括供应商、制造商、经销商和集成商）的 30 起网络安全事件。

这些事件主要涉及 LockBit、Black Basta 和 Qilin 等臭名昭著的组织发起的勒索软件攻击，如图 1 所示。该数据表明，这些攻击具有经济动机，本质上是不分青红皂白的。采用双重勒索策略，攻击者不仅加密了高价值文件，还窃取了数据，从而加剧了对目标组织的威胁。

值得注意的是，这些威胁行为者经常利用广泛存在的漏洞（称为 1-day漏洞），或采用社会工程策略来破坏目标的内部网络，直接进行勒索软件部署。在这些情况下，保持外围资产最新并确保适当的网络安全培训可以减轻大多数攻击。

然而，我们的调查结果还揭示了勒索软件领域之外的六起事件，涉及高级持续威胁 (APT) 组织，这些组织部署了复杂的策略来渗透其目标。这些事件凸显汽车公司需要实施量身定制的防御策略，包括采用先进的威胁检测和响应措施，以有效应对这些更具战略性的威胁。

图 1：汽车行业勒索软件攻击（2023 年 1 月 - 2024 年 2 月）

APT32，又称海莲花集团，在2019年表现出明显的针对汽车行业的偏好，其明显目的是窃取商业机密。这种倾向被广泛解读为通过秘密手段支持越南国内汽车政策的努力。

从历史上看，APT32 曾针对广泛的目标从事间谍活动，包括私营部门实体、外国政府、持不同政见者和记者。在战略重点中，该组织最近加强了对汽车行业的关注，破坏汽车制造商网络以窃取汽车商业机密——这是他们活动的主要目标。

APT32 的作案手法与国家资助的利益相一致，包含了 MITRE ATT&CK 框架中列出的一系列全面的策略。为了便于理解，我们将其复杂的攻击方法提炼成一个简化的过程，如图 2 所示。

图2：APT32攻击流程简化

图 3：趋势科技从交付文档中反混淆的 Perl 负载

汽车行业根据项目要求对不同操作系统的不同依赖，为这些 APT 组织提供了广泛的攻击面。该行业的员工可能使用 Linux、Windows 或 MacOS，每种都为攻击者提供了独特的入口点。这种多样性凸显了一个严重的漏洞：随着 APT 组织增强其恶意软件，汽车公司内部网络被渗透的风险显着增加。因此，这些公司必须以同样的力度加强所有操作系统的网络安全防御。除了仅仅关注 MacOS 和 Linux 之外，还迫切需要全面的运营技术 (OT) 可见性。这种整体方法不仅对于检测而且对于有效遏制和消除这些威胁至关重要。

目标网络中部署的 Cobalt Strike

在网络威胁的阴暗领域，APT32 等 APT 组织已经磨练出一种特别阴险的技术：在他们所入侵的设备上部署 Cobalt Strike 信标。该工具并非 APT32 所独有，其他臭名昭著的组织（例如 Chimera、APT29 和 Leviathan）也利用它进行网络世界中所谓的“后利用”活动。从本质上讲，一旦他们攻破了设备，这些信标就充当了他们在受感染系统中的眼睛和耳朵。

Cobalt Strike 代表了恶意创新的顶峰。它作为全面的远程访问工具包进行商业销售，为攻击者提供了广泛的功能，从发现网络中有价值的数据、逃避安全软件的检测、升级其访问权限到泄露敏感信息。它跨 Windows、MacOS 和 Linux 平台的兼容性进一步强调了其多功能性。图 4 显示了与受害者桌面交互的示例。

图 4：Cobalt Strike 与受害者桌面交互的示例

汽车行业越来越依赖信息技术 (IT) 和运营技术 (OT) 的集成来实现自动化制造和云计算，Cobalt Strike 等工具带来的威胁变得尤为严重。员工使用的操作系统的灵活性（基于项目需求）扩大了潜在的攻击面。这种情况凸显了一个关键挑战：随着汽车公司向更加自动化和灵活的生产流程迈进，其 IT 和 OT 环境成为配备 Cobalt Strike 等复杂工具的 APT 组织的诱人目标。

图5：威胁组织对汽车行业的攻击场景

将汽车行业想象成数字领域的战场，攻击者和防御者都在不断发展。图 5 显示了威胁组织可能用于针对汽车行业目标的攻击示例。正如我们的示例所示，攻击的第一步涉及从汽车行业内的潜在目标仔细收集电子邮件地址。然后，攻击者狡猾地利用 Dropbox、Amazon S3 和 Google Drive 等流行的云存储服务来托管他们的恶意工具，这是 APT 组织的常见策略。这些组织通常通过两种主要方法发起入侵：偷渡式攻击（仅通过访问受感染的网站即可诱骗用户下载恶意软件）或鱼叉式网络钓鱼电子邮件（这是专门设计的消息，旨在欺骗收件人打开有害附件或链接）。

在更复杂的攻击中，通常是在民族国家资助的 APT 级别，零日漏洞（以前未知的软件缺陷）可能会被利用，特别是在能源行业等高风险目标中。一旦毫无戒心的员工无意中将恶意软件引入其系统，攻击者就可以部署 Cobalt Strike 信标。这些信标不仅仅是建立立足点的工具，也是建立立足点的工具。它们是网络犯罪分子的瑞士军刀，能够利用漏洞、伪装恶意文件、窃取数据以及与命令与控制 (C&C) 服务器通信以接收进一步指令。

这些攻击者的最终奖品通常包括汽车商业秘密和知识产权，这些宝贵的资产可以提供竞争优势或在暗网上以高价出售。当攻击者设法在公司网络内横向移动时，情况就会升级，最终损害控制自动化制造流程的关键系统。此类违规行为的后果可能是灾难性的，不仅导致敏感信息丢失，还可能导致生产线陷入停顿。

TXOne Networks 的研究揭示了汽车工厂面临的多方面网络威胁，并强调了与此类安全漏洞相关的重大财务和运营风险。这些发现清楚地提醒我们，在一个日益依赖数字技术和互联系统的行业中，需要采取强有力的网络安全措施。

结论

在 2023 年 1 月至 2024 年 2 月影响汽车行业的最近 30 起网络安全事件中，我们观察到大多数都是随机勒索软件攻击。不过，还有 6 起事件不涉及勒索软件，其中一些甚至导致生产停顿。

与随机勒索软件攻击相比，高级持续威胁 (APT) 攻击通常采用复杂的策略来危害目标。这些攻击者不仅对目标进行广泛的侦察，还利用Cobalt Strike等先进工具进行深入的后利用活动，对生产连续性和知识产权安全构成重大风险。

随着汽车行业拥抱工业 4.0，IT 和运营技术 (OT) 环境的集成变得越来越普遍。当 IT 环境成为国家支持的 APT 攻击的目标时，即使是受监管的 OT 环境也可能面临横向移动攻击的风险。众所周知，如果威胁行为者能够访问 OT 环境，他们就可以破坏生产线。窃取商业秘密和知识产权也是这些攻击者的主要目标。

威胁行为者渗透 OT 系统并破坏制造流程的可能性凸显了强有力的防御策略的必要性。汽车公司需要扩大网络安全措施，不仅包括Windows，还包括MacOS和Linux系统，确保所有数字资产得到全面保护。保护 OT 环境同样重要，需要意识到其容易受到损害的脆弱性。采取“永不信任，始终验证”的心态至关重要。这种零信任方法需要对所有用户、设备和进程进行严格验证，默认情况下拒绝访问，直到建立合法性。

为了有效应对这些复杂的威胁，汽车公司必须彻底了解和监控其 OT 网络。通过采取积极主动的方法，他们可以在潜在的网络威胁造成损害之前识别并消除它们，从而确保行业的进步并保护其宝贵资产。

文章出处：趋势科技

文章地址：https://www.txone.com/blog/protecting-automotive-industry-from-apt-attacks-in-industry-4-0/