国家级黑客组织“海莲花” 攻陷宝马，汽车工业成APT新目标

【导读】据外媒报道，有着国家级背景的黑客组织成功渗透了宝马计算机网络。据专家分析，攻击者所使用的工具及其行为均指向越南APT组织“海莲花”。如情况属实，那么，继关键基础设施之后，汽车工业也成为国家级APT组织的重点攻击目标。

汽车工业也惨遭黑客“毒手”，今年6月宝马公司被迫进行了脱网

据报道，针对德慕尼黑宝马汽车公司的攻击始于2019年春。6月份时，该公司将有关计算机进行了脱网。在近期的一次采访中，宝马相关负责人表示：

“我们已经对结构和流程进行了进一步防范，可以最大程度减少未经授权的外部人士访问我们系统的风险，同时，在发生某些事件时，我们能快速进行检测、重建和恢复。”

值得注意的是，我们发现针对此次攻击，宝马并没有过早反应。国外某IT安全公司的安德烈亚斯•罗尔（Andreas Rohr）给出了解释，“通常情况下，企业一旦发现攻击者，多半会利用此为线索，对攻击者进行反监视，以了解黑客最大攻击范围，以及哪些地方需要进一步妥协，进而实现将攻击者赶出网络的最终目的。”

对使用工具与攻击行为进一步分析，威胁领域最先进“海莲花”浮出水面

在进一步分析中，我们发现该黑客组织应是从BR Recherche攻击了计算机。为此，他们设法安装了一个名为“ Cobalt Strike”的工具，该工具可使攻击者更方便地远程监视和控制计算机。

与此同时，攻击者还建立了一个假冒网站，此网站给人造成了隶属于宝马泰国分公司的假象。这样，黑客组织就可以更“自由地环顾”网络，了解存在哪些文件夹和文件，以及哪些用户已登录，进而锁定目标信息。此外，这些步骤还有助于他们在更多计算机上进行扩展，从而将攻击范围扩大。

 通过对该黑客组织所使用工具及其行为分析，我们发现这些资料均指向一个名为“OceanLotus”的组织（又名“海莲花”）。这是一个可以和俄罗斯APT组织Turla相提并论的组织，至少自2012年以来，一直处于活跃状态，是越南赞助的一支黑客队伍。

不止于宝马，丰田汽车公司也“沦陷”，“海莲花”瞄准汽车工业为哪般？

多年来，“海莲花”一直把不同政见者和被越南视为竞争对手或威胁的国家作为攻击对象。尤其过去几年，其攻击了网络安全、制造、媒体、银行、酒店、技术基础设施和咨询相关的公司，窃取了商业机密、机密谈话日志和进度计划等相关资料。

但IT专家Röcher表示，自2018年底以来，汽车工业也逐步成“海莲花”的关注焦点。智库在查阅资料中也发现，不止于宝马，丰田汽车公司也曾惨遭“海连花”毒手。

今年2月，澳大利亚的经销商遭到黑客攻击之后，丰田汽车也再次遭到了黑客攻击，旗下多家子公司受到影响，包括：丰田东京销售控股有限公司、东京丰田汽车公司、丰田东京卡罗拉等多家丰田在东京的公司，近310万丰田用户的敏感信息被置于黑客的服务器内。行业专家普遍将此次攻击归属于“海莲花”所为，并猜测“海莲花”组织可能想先攻击丰田的澳大利亚分公司，进而进入丰田在日本的中央网络。

“海莲花”瞄准汽车工业到底为哪般？在进一步探究中我们发现，2019年6月越南企业集团Vingroup开设了第一家生产汽车的工厂。而有资料显示，在越南开始制造汽车时，该组织就开始将攻击目标聚焦于汽车制造商。

针对“海莲花”瞄准汽车工业这一趋势，联邦宪法保护办公室发言人表示：

“OceanLotus的分组已经变得很重要，我们应该密切注意其发展，特别是其目标是汽车行业时。”

此外，今年夏天，德国汽车工业协会（VDA）也向其成员发送了一封电子邮件，邮件主题正是：联邦宪法保护办公室关于对德国汽车公司可能进行的网络攻击的警告信息。 

不止于攻击关键基础设施行业，某些国家为了其一己私利，持续不断的不断赞助APT组织发动网络攻击。

如今，APT组织的“魔爪”早已伸向更多的重要行业，今天是汽车工业，明天又会是哪个行业呢？

外文参考：

《以汽车工业为目标，宝马被黑客攻击》https://www.tagesschau.de/investigativ/br-recherche/bmw-hacker-101.html

本文来源于：《国际安全智库》