2025年8月底，某知名車(chē)企遭遇了一次嚴(yán)重的網(wǎng)絡(luò)攻擊，為防止攻擊進(jìn)一步擴(kuò)散，該車(chē)企被迫關(guān)閉了其核心IT系統(tǒng)，導(dǎo)致其全球范圍內(nèi)的制造和零售業(yè)務(wù)受到嚴(yán)重干擾，多個(gè)工廠被迫停產(chǎn)、經(jīng)銷商無(wú)法注冊(cè)新車(chē)，甚至全球數(shù)百萬(wàn)用戶無(wú)法進(jìn)行維保服務(wù)。在事件發(fā)生三周后，該車(chē)企仍未恢復(fù)生產(chǎn)，而據(jù)外媒分析，此次停產(chǎn)可能會(huì)持續(xù)到11月，這期間每周造成至少5000萬(wàn)英鎊的損失。

未然實(shí)驗(yàn)室對(duì)該攻擊事件及已披露漏洞進(jìn)行了跟蹤分析。攻擊者自稱是“Scattered Lapsus$Hunters”，此前曾攻擊過(guò)瑪莎百貨、哈羅德百貨等知名企業(yè)。他們聲稱利用了該車(chē)企SAP（企業(yè)級(jí)集成平臺(tái)）系統(tǒng)中的漏洞實(shí)現(xiàn)了攻擊入侵。

攻擊事件時(shí)間線

8月底，攻擊者“Scattered Lapsus$Hunters”在 Telegram 頻道上發(fā)布了該車(chē)企的內(nèi)部系統(tǒng)截圖，聲稱已經(jīng)入侵其關(guān)鍵系統(tǒng)。

9月初，該車(chē)企立即采取措施關(guān)閉了全球IT系統(tǒng)，以防止攻擊擴(kuò)散。并公開(kāi)承認(rèn)遭遇“網(wǎng)絡(luò)事件”，并確認(rèn)其零售和生產(chǎn)活動(dòng)受到嚴(yán)重干擾。

9月中旬左右，車(chē)企再次發(fā)布聲明，承認(rèn)攻擊者竊取了公司的“一些數(shù)據(jù)”，并宣布再次延長(zhǎng)停產(chǎn)措施，計(jì)劃最早于9月24日逐步恢復(fù)生產(chǎn)。

目前，事件發(fā)生三周，該車(chē)企在海外多地的工廠仍未能復(fù)產(chǎn)，供應(yīng)鏈企業(yè)也因訂單中斷而陷入困境。

攻擊方式解析

根據(jù)黑客向《每日電訊報(bào)》透露的信息，以及安全媒體Onapsis的分析，這次攻擊的核心突破口是該車(chē)企使用的SAP NetWeaver系統(tǒng)（SAP NetWeaver是SAP公司開(kāi)發(fā)的企業(yè)級(jí)集成平臺(tái)，被全球數(shù)萬(wàn)家企業(yè)用于連接和協(xié)調(diào)其財(cái)務(wù)、生產(chǎn)、銷售等不同模塊）。

攻擊者利用SAP系統(tǒng)中的兩個(gè)已公開(kāi)漏洞（CVE-2025-31324和CVE-2025-42999），在未經(jīng)授權(quán)的情況下構(gòu)造惡意請(qǐng)求，觸發(fā)系統(tǒng)內(nèi)的反序列化漏洞。通過(guò)這一操作，攻擊者成功上傳木馬文件，并以管理員權(quán)限執(zhí)行任意命令，最終完全控制了目標(biāo)服務(wù)器。

攻擊影響

此次網(wǎng)絡(luò)攻擊造成了廣泛而深遠(yuǎn)的影響，不僅波及該車(chē)企的核心生產(chǎn)，還對(duì)零售、供應(yīng)鏈以及潛在的財(cái)務(wù)和聲譽(yù)產(chǎn)生了顯著沖擊。

運(yùn)營(yíng)和生產(chǎn)中斷

網(wǎng)絡(luò)攻擊對(duì)該車(chē)企的運(yùn)營(yíng)造成了“嚴(yán)重中斷”，為緩解攻擊影響并遏制其擴(kuò)散，該車(chē)企主動(dòng)關(guān)閉了其全球IT系統(tǒng)。這一決策直接導(dǎo)致了英國(guó)多家工廠及海外工廠的停產(chǎn)。這些工廠的員工被指示不要上班或提前回家，導(dǎo)致車(chē)輛組裝和發(fā)動(dòng)機(jī)生產(chǎn)線完全停滯。根據(jù)BBC等媒體報(bào)道，每停產(chǎn)一周，該車(chē)企至少損失約5000萬(wàn)英鎊。

新車(chē)注冊(cè)與交付停滯

攻擊發(fā)生的時(shí)間點(diǎn)極為敏感，恰逢2025年9月1日新牌照日，這是一個(gè)新車(chē)銷售和交付的旺季。由于該車(chē)企的IT系統(tǒng)癱瘓，英國(guó)經(jīng)銷商無(wú)法進(jìn)行新車(chē)注冊(cè)或處理新的訂單。據(jù)悉，當(dāng)時(shí)的一些新車(chē)交付被迫采用手工流程：銷售人員填寫(xiě)紙質(zhì)文件，再由政府車(chē)輛管理部門(mén)線下登記車(chē)牌。

售后服務(wù)供應(yīng)中斷

有媒體報(bào)道稱，由于系統(tǒng)宕機(jī)，全球數(shù)百萬(wàn)車(chē)主在一段時(shí)間內(nèi)無(wú)法正常獲得維修服務(wù)。雖然該車(chē)企尚未公布確切受影響客戶數(shù)，但經(jīng)銷商反映許多等待維修的車(chē)輛因配件訂貨系統(tǒng)停擺而延遲修復(fù)。這將對(duì)該車(chē)企的客戶滿意度造成不良影響，也可能引發(fā)部分車(chē)主的索賠或投訴。

華為星河AI網(wǎng)絡(luò)安全方案已支持檢測(cè)和攔截該漏洞

針對(duì)該事件相關(guān)的安全漏洞，華為依托于星河AI網(wǎng)絡(luò)安全方案能力，快速上線了漏洞簽名，目前華為星河AI網(wǎng)絡(luò)安全方案已支持檢測(cè)和攔截該漏洞。

華為星河AI網(wǎng)絡(luò)安全產(chǎn)品不但自身安全可靠，在檢測(cè)和防御能力也領(lǐng)先業(yè)界，可以廣泛應(yīng)用于企業(yè)、運(yùn)營(yíng)商等行業(yè)。

在企業(yè)安全的多分支場(chǎng)景，華為防火墻集成Emulator微內(nèi)核脫殼引擎與AI安全檢測(cè)算法。Emulator脫殼引擎可對(duì)加殼文件實(shí)施解密脫殼操作，AI安全檢測(cè)技術(shù)則針對(duì)解密后的文件進(jìn)行動(dòng)態(tài)行為分析，未知威脅檢測(cè)率95%，領(lǐng)先業(yè)界15%。

在安全園區(qū)場(chǎng)景，華為依托AI訪問(wèn)關(guān)系的自學(xué)習(xí)能力，自動(dòng)生成策略，實(shí)現(xiàn)東西向4-7層的微隔離效果，有效防止威脅在內(nèi)外蔓延；同時(shí)，通過(guò)端云聯(lián)動(dòng)防御，實(shí)現(xiàn)100跳深度溯源，精準(zhǔn)定位攻擊源頭。

在安全數(shù)據(jù)中心場(chǎng)景，華為首創(chuàng)勒索加密回滾技術(shù)，能確保勒索加密文件實(shí)現(xiàn)100%恢復(fù)，全方位守護(hù)數(shù)據(jù)安全。