Upstream 2023全球汽车网络安全报告（第二章）
2023-05-29 15:33:14   来源： 路人甲-青骥 汽车信息安全   评论：0 点击：

　　Upstream 2023 全球汽车网络安全报告第二章 汽车网络威胁趋势，罗列了2022里每月的安全事件，同时指出63%的事件是由黑客实施，在此基础上总结到几乎所有的攻击都是远程攻击，并对2022CVE漏洞进行统计分析，最后针对具体的应用场景继续进行了分析，包括电动车、商业车队、智能移动服务、保障和自动驾驶，修理权对农用车的影响。

　　第二章 汽车网络威胁趋势

　　日益复杂和新颖的攻击载体给整个汽车和智能移动生态系统带来新的挑战事件

　　2022年，复杂程度增加，新的攻击载体崛起，给整个汽车和智能移动生态系统带来了新的挑战。

　　2022年期间，Upstream的AutoThreat?研究人员分析了268起汽车和智能移动网络安全事件。

　　一月

　　黑客远程控制全球25台美国OEM电动汽车。

　　在多个充电站中发现了几个漏洞，这些漏洞允许远程攻击者冒充充电站管理员用户并代表他们执行操作。

　　美国移动服务的应用程序帐户被黑客攻击。

　　二月

　　作为网络战的一部分，俄罗斯电动汽车充电器被乌克兰电动汽车充电部件供应商黑客入侵并禁用。

　　对日本OEM供应链的网络攻击使日本14家工厂停工24小时。

　　二级供应商受到网络攻击。

　　三月

　　OEM附属供应商受到网络攻击

　　两大易受重放攻击的原始设备制造商允许黑客远程解锁和启动车辆。

　　意大利铁路公司遭遇勒索软件袭击

　　四月

　　发现新的联合充电站（CCS）攻击技术有可能破坏电动汽车大规模充电的能力。

　　汽车工具制造商披露Conti勒索软件团伙声称的数据泄露。

　　五月

　　发现中国OEM车辆易受更新过程的攻击。

　　德国汽车制造商在长达一年的恶意软件活动中成为目标。

　　价值500万美元的农用车被远程损坏并被盗。

　　六月

　　黑客通过蓝牙攻击锁定了美国OEM的车辆。

　　在交通部门使用的流行工业控制系统中发现了八个零日漏洞。

　　日本汽车供应商遭遇勒索软件攻击。

　　七月

　　一名黑客通过仪表板的API控制了日本汽车的一个主机。

　　流行的车辆GPS追踪器为黑客提供了管理权限。

　　汽车租赁公司遭遇数据泄露，影响员工和可能的客户。

　　八月

　　针对一家一级供应商发起了三次勒索软件攻击。

　　发现了一个新的移动应用程序漏洞，使EV OEMs受到中间人攻击。

　　受数据泄露影响的北美汽车经销商。

　　九月

　　黑客攻击了一款流行的出租车应用程序，导致大量交通堵塞。

　　受数据泄露影响的美国移动和存储租赁公司。

　　美国原始设备制造商的车辆可通过新的继电器附件被盗。

　　十月

　　意大利OEM遭勒索软件攻击

　　受移动应用程序数据泄露影响的日本OEM客户。

　　英国汽车零售巨头遭勒索软件袭击

　　十一月

　　一个勒索软件集团在一次勒索软件攻击中提供了从一家全球一级供应商那里窃取的所有信息，在暗网上以5000万美元的价格出售。

　　网络攻击关闭了丹麦最大的火车公司。

　　白帽黑客通过广泛使用的信息娱乐系统在唯一ID字段上发送带有VIN的API请求，远程启动、停止、锁定和解锁多个OEM的车辆。

　　十二月

　　美国移动服务提供商受到用于资产管理的第三方供应商数据泄露的影响。

　　中国电动汽车OEM受到数据泄露和勒索软件225万美元比特币需求的影响。

　　2022年的大多数袭击都是由黑帽子实施的

　　随着技术和网络安全措施的进步，黑客也在进化，利益相关者必须深入了解谁在实施攻击。

　　通常，黑客分为两类：

　　白帽子

　　白帽黑客，通常是没有恶意的研究人员，他们试图渗透和操纵系统以验证安全性或评估漏洞。白帽黑客不断发现新的令人不安的漏洞。他们通过公司利用他们的服务，或者作为bug赏金计划的一部分，独立运营，在那里他们因负责地披露漏洞而获得奖励。

　　黑帽子

　　相比之下，黑帽黑客攻击系统是为了个人利益、财务利益或恶意目的。今天的黑帽黑客不再是唯一的恶意软件开发者。他们是组织严密、资源充足的行动的一部分，这些行动在全球范围内雇佣了数千名网络犯罪分子，能够对多家公司进行协调一致的同时攻击。

　　2022年的大多数袭击——63%的事件——都是由黑帽子实施的

　　汽车黑帽攻击和IT黑帽攻击的主要区别在于此类攻击的后果和影响。

　　恶意汽车黑帽攻击与对关键OT基础设施（如健康、能源和政府设施）的网络攻击密切相关，不仅导致服务中断和财务损失，还可能造成安全隐患和生命损失。

　　2022年1月，一名白帽黑客利用车主使用的一种流行的开源日志工具中的安全漏洞，成功远程访问了全球超过25辆美国OEM电动汽车。6他可以禁用安全系统；打开车门并放下车窗；无钥匙启动发动机；识别车辆中是否有驾驶员；打开车辆音响系统；并使前照灯闪烁。

　　在白帽子类别中，也有“灰帽子”黑客，他们为了自己的个人利益进行黑客攻击，通常是出于金钱考虑。

　　为了应对原始设备制造商越来越多地使用车载订阅服务和软件功能，灰帽黑客一直在寻找绕过安全措施免费访问这些服务的方法。

　　2022年7月，在一家德国OEM宣布将开始向车主收取加热座椅订阅费后，黑客表示将免费解锁这一备受争议的功能。此举遭到了车主的抵制，许多车主将尝试破解该功能，以避免为此付费。

　　从表面上看，这似乎是无害的，但灰帽子攻击者通过访问付费服务和操纵系统，对原始设备制造商的信誉和收入产生了负面影响。此外，他们暴露的漏洞，以及经常在深度和黑暗网络的论坛中披露的漏洞，可以被恶意黑客利用。

　　几乎所有的攻击都是远程的

　　大多数汽车网络攻击可分为两大类：远程攻击，可以是短程（如中间人攻击）或远程（如基于API的攻击），以及需要与车辆进行物理连接的物理攻击（如OBD端口）。

　　自2010年以来，远程攻击的数量一直超过物理攻击，占2010年至2021所有攻击的85%，2022年占97%。

　　远程攻击依赖于网络连接（例如，Wi-Fi、蓝牙、3/4/5G网络），并有可能同时影响多辆车。

　　2022年7月，洛杉矶一家公司的安全研究人员使用免费软件和一台售价20美元的现成设备闯入了一辆美国OEM车辆，这是一次短程蓝牙攻击的例子。研究人员利用了“电话即钥匙”无钥匙进入系统中的一个漏洞。许多OEM使用“电话即密钥”技术，这是一种基于蓝牙的无钥匙进入技术，很容易受到此类攻击。

　　由于连接性和API依赖性的增加，2022年远程攻击有所增加。2022年6月，一家日本汽车供应商遭遇勒索软件攻击，被迫关闭其计算机化生产控制。

　　2022年11月，针对第三方IT提供商的网络攻击关闭了丹麦最大的火车公司。袭击袭击了铁路、运输基础设施和公共客运机构的企业资产管理解决方案公司。很可能是威胁行为者瞄准了运营中断，使铁路服务瘫痪数小时。分析人士猜测，这家IT提供商可能受到了勒索软件攻击。

　　必须密切监测CVES

　　通用漏洞评分系统（CVSS）是一种漏洞评分系统，旨在为CVE评级提供一种开放和标准化的方法。通过沟通脆弱性的基础、时间和环境属性，CVSS帮助组织优先考虑和协调联合应对措施。根据其CVSS得分，脆弱性从严重、高、中到低或无。

　　2019-2022年发现的汽车相关CVE数量

　　自2019年以来，汽车行业经历了347次CVE，2022年为151次，而2021为139次。

　　安全团队、开发人员和研究人员使用多种方法来评估风险，包括CVSS。CVSS评分在整个产品供应链中都有实际应用，有助于确定漏洞是否已被利用，并确定修补漏洞的优先顺序，以及更有效地分配时间和人力资源。ISO/SAE 21434还使用CVSS作为标准风险评估过程的一部分，以确定攻击的可行性。

　　车队经理和运营商也应密切跟踪CVE。CVE不仅可能影响整个车队的风险评估，而且在战略设计车队组成时也可以考虑这些因素。

　　2022 CVES概述

　　CVE是公认的网络安全风险，可在整个汽车生态系统中快速参考。在OEM产品上发现这些威胁很常见，但它们也可能出现在OEM供应链公司的产品中。

　　制造汽车的原始设备制造商（OEM）利用一级供应商生产的数百个软件和硬件模块组装汽车。第1层由其第2层提供的各种单独组件构成这些模块。每个部件的质量和安全取决于生产该部件的公司。因此，供应链中的每个公司都有责任监督和确保每个与汽车相关的产品的质量与安全。由于漏洞并不总是及时解决，甚至根本无法解决，因此常用软件模块或组件中的一个缺陷可能会影响数百万辆汽车。

　　尽管CVE披露了关键漏洞，但黑客也可以利用这些漏洞在类似系统中寻找漏洞。

　　公开报告的汽车相关漏洞明细（2019-2022年）

　　2022年，Upstream的银行分析师分析的CVSS评分漏洞如下：

　　33个关键漏洞，74个高度脆弱性漏洞，44个中脆弱性漏洞

　　整个智能移动生态系统都受到影响

　　网络攻击威胁着汽车、智能移动和移动即服务（MaaS）生态系统的每一个环节。

　　OEM、Tier-1s、Tier-2s、电动汽车、电动汽车充电基础设施/本地电网、自动驾驶汽车、农业设备、TSP/车队管理、汽车经销商、汽车商业和交付车队、公共交通、政府车队/应急服务、汽车共享、单车共享、汽车租赁、共享叫车、智能城市、保险。

　　扩大数字足迹的行业（如电动汽车充电、车队和移动共享应用）正面临攻击，这些攻击不仅针对勒索软件等经济利益的数据，还针对公共安全和基础设施。

　　OEM、一级供应商和二级供应商分担责任

　　除了代价高昂的召回、品牌受损和数据丢失之外，针对原始设备制造商及其零部件供应商的网络攻击还导致了生产停工。2022年3月，一家日本OEM供应链遭到网络攻击，导致日本14家工厂停工24小时。

　　由于原始设备制造商严重依赖供应商，网络攻击的风险更加严重。专用黑客可以利用一级或二级组件供应商中的漏洞，直接访问OEM的网络甚至车辆本身，如2022年3月的情况，当两个主要的日本原始设备制造商被发现容易受到中继攻击，黑客可以远程解锁和启动他们的车辆时。研究人员发现了日本原始设备供应商Tier-1提供的远程无钥匙系统中的一个漏洞，这使他们很容易遭受中间人（MITM）攻击。视频证据显示，黑客可以利用无线电发射器利用车辆的遥控无钥匙系统。遥控无钥匙系统每次发送相同的射频（RF）代码，而不是在每次请求后更改代码，从而使附近的攻击者能够拦截遥控无钥匙发送的RF代码，然后使用这些代码解锁和远程启动汽车。

　　2022年8月，一个黑客组织对一家跨国公司Tier-1进行了勒索软件网络攻击，威胁要公布该公司的数据。2022年11月，为了回应该公司拒绝遵守赎金要求，该组织以5000万美元的价格提供了在暗网泄露网站上出售的所有信息。

　　2022年9月，安全研究人员检测到一个名为CVE-2022-37709的漏洞，该漏洞影响了一家美国电动汽车OEM。电动汽车的移动应用程序容易受到通过欺骗绕过身份验证的攻击，从而通过蓝牙低能耗对电动汽车的电话密钥身份验证发起MITM攻击。

　　通过利用该漏洞，攻击者可以解锁车辆、启动发动机并将汽车开走。

　　电动汽车生态系统正在迅速扩张

　　随着电动汽车数量的增加，对充电基础设施和电网网络安全的担忧也在增加。由于电动汽车的快速增长，充电基础设施的开发和部署速度相对较快，往往忽略了网络缺陷和漏洞。

　　充电器容易受到物理和远程操作的影响，这些操作可能会操纵其功能，并使电动汽车用户面临欺诈、数据泄露甚至勒索攻击。此外，还有一些新的威胁与各种充电攻击载体，包括车辆到充电网络、电网到车辆和电网到车队。

　　2022年2月，作为网络战的一部分，俄罗斯M11高速公路上的电动汽车充电器被一家乌克兰零部件供应商入侵。充电器被禁用，并被编程为显示政治信息。

　　在新屏幕显示额外的政治信息和视频之前，充电器显示了一条错误信息，显示为英语“CALL SERVICE NO PLUGS AVAILABLE”。

　　商业车队

　　随着商业车队运营商（如汽车租赁、物流和配送公司）越来越依赖连接和车辆管理软件，其网络安全风险成倍增加。

　　2022年7月，一家汽车租赁公司发生了影响员工和客户的数据泄露事件。数据泄露发生在未经授权的一方访问了公司网络上的敏感消费者数据之后。被泄露的数据类型包括姓名、直接存款信息、健康保险号码、出生日期、社会保险号码、驾照号码、国家身份证号码、护照号码和其他政府颁发的身份号码。

　　智能移动服务

　　随着拼车、叫车和其他智能移动服务的普及和使用持续增长，它们代表了智能移动生态系统中的高风险目标。这些服务保存着来自数千个独特用户的敏感PII和支付数据。

　　2022年1月，一家美国移动服务公司报告称，针对司机和乘客的诈骗增多，并透露一名客户的账户被黑客入侵，该客户被锁定。黑客成功地激活了双因素身份验证，更改了密码，并向客户的信用卡添加了虚假费用。

　　2022年2月发生了另一起事件，在有欺诈者冒充该公司的应用程序并从其客户处窃取钱财的报告后，同一移动服务公司建议其客户检查最近的银行交易。

　　由于一些智能移动服务通过基于API的应用程序直接影响车辆控制，因此漏洞可能会对车辆、驾驶员和乘客以及公共基础设施造成风险。2022年9月，匿名者的黑客攻击了一个叫车应用程序，并将所有可用的出租车订购到同一地点，造成了大规模的交通堵塞。

　　保险

　　保险公司意识到，网络威胁形势直接影响联网车辆的保费。

　　保险公司可以利用连接的车辆数据来确定哪些位置、车辆类型和部件通常更容易受到网络攻击，并据此计算保险费。

　　新的基于行为的保险模式利用售后设备与保险公司共享远程信息，以降低保费和保险成本。然而，不良行为者可以利用这些设备中的漏洞，操纵数据或通信来攻击保险公司的IT网络。保险公司及其远程信息处理供应商必须共同努力，确保其远程信息处理基础设施安全。

　　自动驾驶车辆

　　预计未来几年，全球AV市场将呈指数级增长，一些研究人员预测，到2030年，复合年增长率将达到惊人的40%。许多利益相关者，包括原始设备制造商、智能移动和乘车共享服务提供商以及大型科技企业，正在快速引入AV创新。

　　其他制造商也紧随其后。如2022年发布的许多公告所示，自主车队正在获得动力，带来前所未有的效率和客户体验。

　　此外，新的传感器类型、软件和硬件功能以及通信类型暴露了潜在的漏洞，增加了未来攻击的可能性。

　　自动驾驶车辆配备并依赖导航传感器（例如，GPS、LIDAR、摄像头、毫米波雷达、IMU），这些传感器从包括互联网和卫星在内的多个来源接收数据和方向。因此，攻击者有可能阻止传感器检索有用的数据，使其检索不正确的数据，或通过特制的数据操纵传感器功能。

　　2022年3月，杜克大学的研究人员展示了第一种攻击策略，该策略可以操纵行业标准的自动驾驶汽车传感器，使其相信附近的物体比未被检测到的物体看起来更近（或更远）。新的攻击策略是通过向汽车的激光雷达传感器发射激光枪来增加虚假数据点来实现的。研究表明，3D激光雷达数据点被小心地放置在相机2D视野的特定区域内，可以操纵系统并改变其功能。

　　2022年6月，一家大型科技企业拥有的自动驾驶电动机器人出租车车队完成了机器人出租车测试和推广的关键检查点。该公司展示了车辆如何在非结构化环境中以人加安全水平完全自主运行。

　　同一个月，另一家供应商的机器人出租车在加州阻断了数小时的交通。尽管这起事件不是由网络安全攻击引起的，但它凸显了未来的潜在挑战。

　　修理权对农用车辆的影响

　　2022年，有关农用车维修权的冲突成为头条新闻。希望自行维修设备的农民转向在线论坛，讨论软件错误、如何操作拖拉机系统以及交换代码和数据。因此，该领域的黑客活动有所增加。

　　2022年8月，在DefCon安全会议上，一名名为“病态代码”（Sick Codes）的黑客透露了一个新的越狱，该越狱提供了对一家美国OEM的两款热门拖拉机型号的无限制根访问。黑客将控制单元焊接到印刷电路板上，绕过了拖拉机系统的所有安全措施，允许他完全控制并使用触摸屏随意更改任何内容，包括解锁被阻止的制造商功能。通过利用这些类型的漏洞，农民可以完全控制他们的车辆。