3.3 万名员工被迫放假
一场网络安全事故,让英国车企巨头捷豹路虎陷入停摆泥潭。
捷豹路虎 (JLR) 已告知供应商,在遭受严重网络攻击后,其工厂的生产最早也要到 9 月 24 日才能恢复,但业内消息人士警告称,生产中断可能会持续到 11 月。
此次黑客攻击发生在两周多前,导致捷豹路虎关闭了 IT 网络,生产陷入瘫痪。本周二,3.3 万名员工收到通知:别急着回工厂,生产线还没恢复。
现代汽车工厂的基础设施极其复杂,涉及数千个电子控制单元、多层数字系统和计算机,以及数亿行软件代码。捷豹路虎解释称因为“调查仍在进行”,而全球业务恢复需要分阶段推进,还需要更多时间……
伯明翰商学院商业经济学教授 David Bailey 指出,此次停产将使该车企的利润遭受沉重打击。他估算,按工厂平时产量计算,大约价值 17 亿英镑的汽车无法生产,初步将造成约 1.2 亿英镑的利润损失。按日均测算,捷豹路虎每天大约少赚 500 万英镑。
但这场危机不仅波及车企本身。捷豹路虎的员工在停工期间仍能领到工资,但其供应链支撑着英国超过 10 万个工作岗位,如今不少相关雇员不得不依靠“全民信贷”来维持生活。英国工会联合会呼吁政府出台休假计划以稳定就业。还有传言称,如果没有及时的外部支持,一些供应商可能面临破产。
外界的耐心正在消磨,批评声愈演愈烈。网络安全专家同样毫不留情。Techzura 总经理 Rob Smith 在 X 上直言:“我处理过大量安全漏洞。如果灾难恢复计划在攻击下全线瘫痪,那它就是无效。像捷豹路虎这样的巨头,本该有隔离方案和故障转移演练,而不是眼睁睁让自己每天亏掉 500 万英镑,把 10 万个工作岗位都拖入险境。”
捷豹路虎公告称“非常抱歉”
捷豹路虎在 9 月 16 日的公告中表示“我们对此次事件造成的持续中断感到非常抱歉”,这也是该公司自 9 月 10 日承认这起事故以来发出的首份公告。
根据相关报道,此前针对零售商 M&S 及 Co-op 发动攻击的背后组织已声称对捷豹路虎数据泄露事件负责,并在某 Telegram 群组中分享了据称窃取自捷豹路虎 IT 部门的内部截屏。该组织自称“Scattered Lapsus$ Hunters”,并向 BBC 概述了攻击路径,目的似乎是向捷豹路虎勒索钱财。但他们未说明是否窃取私人数据。
安全研究员 Kevin Beaumont 指出,母公司塔塔“的线上业务似乎仍在运行,但 Shodan(一个包含数十亿个公开 IP 地址的数据库以及搜索引擎)上已经一片混乱,不少 SAP Netweaver 设备被直接暴露在互联网上……”
SAP Netweaver 用户曾在今年 4 月遭受一波广泛攻击,恶意方利用一项高危 CVSS 10 漏洞(CVE-2025-31324)获得了完整的远程代码执行(RCE)权限。
在另一起可能无关的事故中,HELLCAT 勒索组织于 3 月宣称入侵了捷豹路虎,共窃取到 700 多份内部文件。在某网络犯罪论坛上,HELLCAT 黑客“Rey”公开了一份包含敏感信息的员工数据集。
Rey 发布的帖子,泄露了捷豹路虎的数据
此次泄露事件中发现了该公司数百份内部文件
公司员工提交的数 GB 的 Jira 问题,为威胁行为者打开了利用的大门
几天之后,另一名为“APTS”的攻击者又泄露了 350 GB 失窃数据。二人都声称是使用信息窃取恶意软件收集了捷豹路虎 Jira 服务器的第三方凭证,进取获得了这些数据。捷豹路虎始终未公开评论这起入侵事件,也没有回应技术媒体的置评请求。
APTS 泄露捷豹路虎的更多数据
捷豹路虎 2025 年度报告中提到,安全在其数字化转型中“至关重要”,并强调内、外部评估表明“我们的安全部门呈现积极的发展态势”。这家汽车制造商还强调称,其一直通过网络安全研讨、网络钓鱼测试和“网络英杰”等活动对员工进行安全培训、推广信息安全合规框架。但网络安全公司 OPSWAT 国际高级副总裁 James Neilson 指出,“随着 IT 与 OT 领域的融合,汽车企业更容易遭受网络攻击。”(有迹象表明,捷豹路虎遭遇的事件就是 OT 网络受到了攻击。)
网安事故响应专家强调,即使是拥有成熟安全措施的组织,在应对事件时也经常发现原有策略中存在重大漏洞——包括系统恢复中 Active Directory 丢失、备份分段不当并遭受攻击,以及负责人员不清楚如何使用离线冷备份副本实现恢复。
“许多组织认为建立 IT 灾难恢复计划就足以应对勒索软件,但其实不然。勒索软件团伙很聪明,会第一时间删除备份并恢复系统,之后再破坏其他系统。”Kevin Beaumont 指出。
“有过这方面经验的朋友都知道:面对企业 IT 系统遭受突如其来的打击,付过钱并不等于高枕无忧……攻击者要做的是毁掉整个业务体系,IT 系统不过是他们选定的切入点。面对这种情况,企业往往手忙脚乱、除了像遇到火灾那样打电话求助之外什么都做不了。”
外包给印度企业:省下成本却换来灾难
最近,英国三家大型公司接连遭遇勒索软件和/或敲诈攻击事件——合作社集团(Co-op Group)、玛莎百货(Marks & Spencer)和捷豹路虎(Jaguar Land Rover)。它们有一个共同点:过去五年里,它们都将核心 IT 与网络安全服务外包给塔塔咨询服务公司(TCS,Tata Consultancy Services)。
塔塔咨询服务公司是一家印度跨国科技公司,专门从事信息技术服务和咨询。该公司总部位于孟买,隶属于塔塔集团,业务遍及 46 个国家的 150 个地区。
根据英国网络安全监控中心的估算,Co-op 和玛莎百货(M&S)两起事件的损失总额约为 5 亿英镑。零售业协会的测算也给出了类似的数字。
玛莎百货数月后系统仍未完全恢复,而 Co-op 集团关键 IT 系统停摆了一个多月。
玛莎百货的案例中,其保险公司遭受了“全额损失”,即损失超过了 M&S 1 亿英镑的保险上限。M&S 预计网络保险能覆盖大约一半的损失。Co-op 集团则完全没有网络保险,因此拒绝支付赎金,这也是他们遭遇青少年黑客不断升级攻击的原因。
与此同时,捷豹路虎汽车生产部门目前已全面停工两周多。员工们仍然不知道 IT 系统何时才能恢复,汽车生产何时才能重启。
仅这三起事件的总损失可能就接近 10 亿英镑。而被捕的嫌疑人大多是青少年,如今已被保释,几个月过去仍未被起诉,其中一些人还有过类似案件的前科,但依然继续作案。
BBC 报道称,捷豹路虎去年利润超过 20 亿英镑。他们完全有能力承担损失,毕竟外包给 TCS 帮他们节省了不少钱。
安全研究员 Kevin Beaumont 这周发表文章爆料称,Co-op 集团与 TCS 的合作始于十多年前,但真正开始将关键 IT 服务外包给 TCS 是在 2017 年左右。“当时我负责他们的安全运营中心。他们把 IT 服务台外包给 TCS——据认为是此次事件的入侵入口——并将员工转移至 TCS,最终导致部分岗位被裁撤。我在 2019 年底离开公司后,他们后来又将我的团队——网络安全运营中心——以及其他一些关键的网络安全服务,全部外包给 TCS。”Co-op 集团去年税前利润为 1.61 亿英镑。
玛莎百货与 TCS 的合作时间差不多,也外包了关键 IT 服务并裁撤了员工,包括 IT 服务台(同样是事件入侵点)。随着合作深入,他们还将部分网络安全职能外包给 TCS,包括负责检测未授权活动的团队。玛莎百货去年税前利润为 8.76 亿英镑。
捷豹路虎模式类似,将关键 IT 职能交给 TCS,随后外包部分网络安全,包括安全运营、治理与合规以及身份与访问管理。虽然员工最初通过 TUPE 机制转移,但许多人后来被裁。JLR 去年税前利润为 25 亿英镑,是十年来的最佳业绩。
“你在你所在的领域里正在做些什么来实现我们的目标?”“被卖给塔塔(TCS)。”
换句话说,为了提升股东价值,大公司被激励将核心 IT 和网络安全职能外包给印度低成本的服务商;而一旦遭遇勒索软件攻击,保险公司往往会推动支付赎金,以避免自身损失。
这一循环正推动勒索软件产业的发展——犯罪团伙用这些钱购买漏洞和“初始入侵权限”,研发资金远超受害企业。尤其是当企业将关键职能交给低成本外包商时,防御能力更加薄弱。
而塔塔咨询服务公司(TCS) 则坚决否认他们的任何系统遭到入侵。
但在网络安全行业,大家早已知道 LAPSUS$ 团伙常常通过拨打服务台电话索取访问权限,而且往往轻而易举就能得手。TCS 提供的正是这种跨客户共享的服务台支持。在这种情况下,当 TCS 拥有环境的域管理员权限并负责 IT 服务管理时,真正的问题就不是“TCS 自己是否被攻破”,而是“TCS 的客户究竟是如何被攻破的,以及这些服务是否由 TCS 提供”。
Kevin Beaumont 指出,这在业内早已不是秘密:关于 TCS 的传闻不胜枚举,一线人员甚至戏称其为 Terrible Cyber Service(糟糕透顶的网络服务)。相关的表情包和调侃也早已广泛流传。
对于小企业来说,外包能显著提升其能力,让企业获得原本因为规模限制而无法正确部署和管理的技术。
然而,当我们谈论的是拥有成千上万员工的大型组织时,如果它们把网络风险与合规、网络安全运营、密码重置服务台等领域外包出去,那所承担的风险水平就变得非常值得怀疑。这不仅仅是风险,而是会真实发生并带来后果的风险。节省下的那 10% 预算,一旦导致整个公司“心脏病发作”,就显得毫无意义。
参考链接:
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论