Upstream 2023全球汽车网络安全报告（第六章）
2023-06-01 10:34:27   来源： 皖西小山猪 汽车信息安全   评论：0 点击：

　　首先要感谢朋友“皖西小山猪”，作为业外人士，抱着对汽车网络安全的好奇参与了报告的翻译，也希望有更多的朋友加入到这个行业。本章为Upstream 2023 全球汽车网络安全报告第六章 深网和暗网中的汽车和移动威胁，供业界参考！

　　第六章 深网和暗网中的汽车和移动威胁

　　为汽车和移动生态系统利益相关者提供有影响力的网络威胁情报

　　什么是深网和暗网？

　　许多人认为互联网是扁平的和全球化的，但它具有多层的深度，其中一些没有索引。 互联网可以分为三个主要层次：明晰、深层和黑暗。访问每一层都需要不同的工具和专业知识。 例如，在暗网论坛上，用户必须知道地址、使用特殊浏览器，并且经常向网站管理员展示对特定主题的熟悉程度才能获得访问权限。

　　互联网的第一层是最小的，但也是最熟悉的，被称为明网或表层网。在网络的这一部分，信息被流行的搜索引擎索引，使得人们每天都可以轻松访问和依赖它 。

　　明网

• 汽车与网络新闻
• 经过验证的研究人员的公共博客/帖子
• 学术或研究论文
• 汽车爱好者/极客论坛
• 社交媒体
• 代码共享网站
• 文件共享网站

　　互联网的第二层是深网。 这部分网络上的数据未被搜索引擎编入索引，要么是因为它位于付费专区后面，需要登录凭据；要么是其所有者已阻止网络爬虫编入索引。 对于普通人来说，深网包括私人社交媒体群组、付费内容、会员网站和机密公司网页。 对于黑客来说，深网包括图像板，其中包含匿名的、挑衅性的、近乎非法的内容。 深网占互联网上所有网页的 96%。

　　深网

• 私人社交媒体团体
• 私人消息应用
• 粘贴站点
• 私人汽车改装论坛或黑客论坛

　　互联网的最后一层是暗网，其中存在恶意活动、犯罪和被盗数据。 暗网的名字很适合它； 它试图远离聚光灯，相当隐蔽，并且要求用户事先了解如何访问所需信息。 论坛或页面通常由版主管理，由于用户之间缺乏透明度以及论坛中的信息类型，使得其内容总是可疑。

　　暗网

• 恶意粘贴站点
• 非法市场
• 图片板
• 封闭的黑客论坛
• 非法出租服务
• 合法平台潜在的恶意行为者，例如 Tor、电报等

　　为了在暗网上保持匿名，大多数暗网黑客使用 Tor 浏览器和代理服务器。一个叫做 proxychain 的工具用于链接代理服务器（通常是 3-5 个服务器）。在这种情况下，来自攻击者的数据包会通过多个代理服务器。代理服务器被故意用于竞争对手国家，这样一个国家就不能与另一个国家共享安全信息（例如，代理日志）——这使得识别黑客变得更加困难。

　　在 2022 年期间，Upstream 的 AutoThreat? 研究人员发现，与 2021 年相比，针对 OEM 和供应商的深网和暗网调查结果增加了 35%。Upstream 的研究表明，2022 年网络论坛中汽车相关讨论的激增在很大程度上与对现代车辆和软件组件的攻击有关。此外，Upstream 还发现了专门针对汽车行业和更广泛的移动生态系统的新威胁参与者。

　　深网和暗网中发生了什么？

　　在深网和暗网中，用户可以通过多种方式参与并于其中的内容互动。 深/暗网论坛、市场、移动消息应用程序和粘贴站点提供范围广泛的汽车相关内容。

　　通常，个人依靠网络论坛来查找各OEM不愿与消费者分享的信息。他们使用这些信息来盗版修理他们的车辆或操作系统。此外，市场通常会违反制造商的条款和协议出售汽车零部件、组件、芯片、软件和其他物品。许多车主在不了解篡改高度复杂的汽车技术的危险的情况下从事这些活动。

　　这些活动会对汽车利益相关者和保险公司产生影响。 当个人篡改他们的车辆时，他可能会报告看似合法的虚假信息。 在极端情况下，威胁行为者可以通过对已用于授予车辆授权的数据进行逆向工程来访问 OEM 或保险公司的服务器。

　　最常见的深网和暗网讨论：

• 品牌损害
• 信息娱乐被黑
• ECU/芯片调校
• 盗窃工具
• 汽车黑客工具和教程
• 原始设备制造商网络访问
• 身份被盗
• 源代码和数据泄露，数据库泄露
• 账户被黑
• 伪造文件
• 论坛

　　在深网和暗网中，有与汽车相关的论坛，涉及芯片和引擎调整、信息娱乐破解、逆向工程、车辆软件破解、遥控钥匙修改、防盗器破解和汽车软件交换。 此外，还可以在一般黑客论坛中找到与汽车相关的黑客攻击。

　　信息、见解、黑客攻击和软件操作不断在这些论坛上进行交易。 ECU 调整是一个常见的讨论话题，还有其他话题，例如信息娱乐系统黑客攻击、源代码、数据泄露、汽车黑客工具、未经授权的个人教程等。

　　无论是为了省钱还是为了申请维修权，与自编程车辆相关的数千个问题和优惠经常出现。

　　此外，ECU 重映射课程、指南、软件和调整文件演示很容易访问。

　　正如 Upstream 的 AutoThreat? PRO 团队所发现的那样，2022 年 6 月，一个流行的深网汽车论坛出售远程安装破解诊断软件的说明，该说明适用于各大OEM。

　　市场

　　暗网市场是通过 Tor 或 I2P 等浏览器运行的商业网站。它们主要充当黑市——中介涉及毒品、武器、网络武器、武器、被盗数据、伪造文件和其他非法商品的交易。一旦用户发现一个市场，他们必须在浏览列表之前在网站上注册。

　　一些与汽车相关的暗网市场列出了可提供的与汽车相关的“产品”和服务，例如伪造文件，以及汽车应用程序和智能移动服务（例如，OEM 互联汽车服务、共享移动服务）的用户身份证明。

• 有许多与汽车相关的威胁在深网和暗网中被发现和讨论，包括：
• 与信息娱乐黑客、CAN 总线逆向工程、芯片调整和软件黑客或非法升级相关的说明和指南
• 出售或暴露在数据泄露中被盗的 OEM 相关信息和凭证
• 讨论和销售用于车辆盗窃或改装的工具，包括钥匙信号采集器、遥控钥匙编程器、GPS 干扰器、雷达探测器等
• 与汽车共享或乘车共享帐户相关的黑客攻击或欺诈
• 销售假驾驶执照或汽车保险

　　2022 年 7 月，Upstream 的 AutoThreat? PRO 团队发现一个流行的暗网市场正在出售 EV 充电消费者的登录凭据。这些凭据被恶意软件信息窃取程序盗用，以获取存储在网络浏览器中的登录数据。出售凭据的威胁行为者长期以来一直在这个特定的暗网市场上出售数百个日志。

　　消息应用程序

　　随着在线活动转移到移动设备，移动消息应用程序在非法活动中变得越来越流行。

　　Telegram、Discord、Signal 和 WhatsApp 等流行的信息传递应用程序正被积极地用于分享汽车黑客方法，以及交易被盗的信用卡、账户凭证、漏洞利用、泄露的源代码和恶意软件。

　　这些应用程序已成为暗网上神秘、难以浏览的论坛的重要替代品。

　　2022 年 1 月，勒索软件 Telegram 频道发布了来自一家主要汽车 OEM 供应商的泄露数据，包括机密客户协议。

　　2022 年 3 月，有关可能影响多家 OEM 的漏洞利用的详细信息发布在专用于 Linux 漏洞利用的 Telegram 频道上。

　　深网和暗网中的威胁行为者

　　安全研究人员

　　安全研究人员利用他们的技术专长来识别组织或行业内的网络安全漏洞。 安全研究人员需要随时了解该领域的最新数据、趋势和发展。

　　许多安全研究人员在开源代码存储库和用于软件开发的互联网托管服务（如 GitHub）中发布他们的研究和新发现。研究通常包括用于控制车辆和漏洞利用的车辆工具包。

　　虽然安全研究人员通常被认为是白帽子，但他们在任何人都可以访问的开源平台上发布他们的知识。 因此，怀有恶意的威胁行为者也可能滥用共享知识。

　　2022 年 5 月，NCC Group 的一名安全研究人员披露了针对美国 EV OEM170 的攻击，该攻击允许小偷利用 OEM 无钥匙进入系统使用的 BLE 协议中的漏洞进行中继攻击。

　　2022 年 6 月，上海复旦微电子集团软件与系统安全团队的安全研究人员在 GitHub 上发布了一个应用程序。该应用程序利用了在美国 EV OEM 汽车模型及其手机钥匙中发现的几个安全漏洞。该应用程序还利用 BLE 协议实施短距离中间人攻击，使攻击者可以轻松控制车辆并在一分钟内完全解锁、启动或窃取车辆。

　　诈骗经营者

　　通常，欺诈行为者会在深网上向车主出售诊断工具和软件、芯片调谐器和里程修复服务。

　　深网上最流行的欺诈服务之一是里程修复，正式名称为里程表欺诈，涉及断开、重置或更改车辆的里程表以更改显示的英里数。

　　NHTSA 估计，每年有超过 450,000 辆带有虚假里程表读数的车辆被售出，每年给美国买家造成超过 10 亿美元的损失。

　　2022 年 3 月，英国深网汽车论坛的一位用户发布了一份文件，其中详细介绍了关于一款德资OEM车型的里程表篡改方法的相关信息，以响应另一成员的特定请求。经销商级诊断工具可以合法地在线购买，并且被欺诈操作者用来使用 OBD 端口获得对车辆 ECU 的完全访问权限。

　　2022 年 6 月，一名欺诈运营商在一个深网汽车论坛上提供远程安装诊断软件，包括模块和关键编程功能。未经授权访问诊断软件违反了 OEM 条款和条件，导致收入损失和实际使用情况的可见性。

　　黑帽黑客

　　术语黑帽黑客是指以恶意破坏网络安全的黑客。 许多黑帽黑客在不同的深网、暗网论坛和市场上活动。 汽车黑帽黑客参与了广泛的活动。 一些黑帽黑客专注于短程黑客，特别是黑入远程和无钥匙进入系统以窃取车辆，而其他人则专注于远程黑客，主要是漏洞利用。

　　通过在深网和暗网论坛中发布远程漏洞的利用方式，黑帽黑客让许多其他威胁行为者也能获取可用于崩溃甚至控制车辆系统的漏洞的方法——从而导致重大风险，包括安全风险。

　　2022 年 8 月，黑帽黑客在网络犯罪论坛上发布了影响多家 OEM 的 Linux 漏洞利用。利用此漏洞可能导致拒绝服务，从而导致受影响的车辆坠毁。此外，利用该漏洞可能允许攻击者在受影响的车辆上远程运行命令。

　　汽车爱好者

　　“汽车爱好者”一词是指对汽车及其工作和操作方式充满热情的任何人。许多汽车爱好者活跃于深网上的不同汽车论坛——提供建议、提出问题、讨论在他们的车辆中发现的问题和错误，甚至共享汽车文件或指向非官方软件更新的链接。

　　汽车爱好者在论坛上发布的信息可能有问题，原因有二。 首先，恶意威胁行为者通常是这些论坛的成员，并通过利用任何报告的错误或问题来立即获利。 其次，发布的文件和链接不可信，可能包含恶意软件、间谍软件和勒索软件，这可能会使保修失效。

　　2022 年 6 月，针对德国 OEM 车型的非官方固件更新可在汽车爱好者的深网汽车论坛上下载 。一些帖子表明主机可能被越狱并接受超出默认 OEM 配置的未经授权和未经验证的文件。

　　勒索软件攻击者越来越多地瞄准汽车供应商

　　针对汽车零部件供应商甚至电动汽车充电基础设施的勒索软件攻击正在增加，引起了恶意行为者的注意。 各大OEM面临着来自其供应链任何部分的潜在妥协的挑战。

　　由于这些供应商高度专业化，因此切换成本非常高，更换它们也并非易事。 供应链中的任何中断都可能对 OEM 车辆生产产生负面影响。

　　为了敲诈勒索，攻击者通常会在暗网上维护一个“泄密站点”，在那里他们会披露被盗数据和有关组织的敏感信息，并发布有关受害者的帖子。2022 年，勒索软件攻击和泄漏站点经常成为头条新闻。以下是一些值得注意的攻击。

　　在 2022 年 2 月和 2022 年 3 月期间，两家不同的日本 OEM 附属供应商遭受了两次不同的网络攻击——其中一次最终导致 OEM 的生产停顿。2022 年 2 月下旬，一家日本塑料零件和电子元件供应商感染了病毒，并在其服务器上发现了一条威胁信息。对此，这家日本主机厂决定于3月1日暂停日本14家工厂的28条生产线的运营，24小时后恢复生产。

　　大约一周后，另一家附属公司和供应商也遭到网络攻击，影响了其在德国的运营。声称对这次攻击负责的勒索软件组织在泄漏站点上发布了攻击的详细信息和被盗数据集的样本。 勒索软件组织还威胁要在暗网上发布数据。 根据泄密网站，该组织拥有价值 1.4 TB 的数据，包括超过 157,000 份采购订单、电子邮件和草图。

　　2022 年 6 月，一家日本汽车供应商的美国子公司遭到勒索软件攻击，迫使其关闭计算机化生产控制并恢复人工生产和运输。

　　2022 年 8 月，一个黑客组织对一家跨国 Tier-1 进行了勒索软件网络攻击，威胁要发布该公司的数据，除非支付赎金。作为对该公司拒绝遵守的回应，该组织于 2022 年 11 月以 5000 万美元的价格在暗网泄密网站上出售所有信息。

　　2022 年 10 月，一个勒索软件组织攻击了英国一家拥有 200 多家经销商的大型汽车经销商集团，窃取了该公司 5% 的数据。攻击者还索要创纪录的 5300 万英镑赎金，但该公司拒绝支付。

　　修复权使深网和暗网成为人们关注的焦点

　　越来越多的车主试图在不通过 OEM 或经销商授权维修店的情况下获得诊断软件和工具来修理他们的车辆。此外，车主正在侵入他们自己的车辆以调整他们的引擎、解锁高级功能、修理零件和解决软件问题。

　　尤其是农用车主，他们已经关注拖拉机黑客攻击，以绕过设备制造商为防止他们自行维修而设置的限制，并避免远程平台上的数字锁定。

　　2022 年 8 月，一台被黑客入侵的美国 OEM 拖拉机为“维修权”运动火上浇油，同时也凸显了其安全隐患。在 DefCon 安全会议上，一位名为 Sick Codes 的黑客透露了一种新的越狱方法，该方法提供了对拖拉机计算机的不受限制的 root 访问权限，使他能够完全控制并使用触摸屏随意更改任何内容。

　　寻求免费、“破解”版本软件的汽车爱好者转向深网和暗网，这是一个充满危险的庞大而野蛮的生态系统。

　　他们可能认为通过从看似安全的网站或论坛下载具有很高价值的软件。 此外，他们还可能认为他们可以节省昂贵的制造商维修费用和时间。 但是，他们通常会通过安装来自未知和恶意来源的软件而无意中将自己暴露在恶意软件、间谍软件和勒索软件中。 使用未经授权的软件和黑客汽车进行自我维修也会使保修失效。

　　深网和暗网活动的增加需要整个供应链立即采取行动

　　与汽车相关的安全漏洞、敏感信息的数据泄露以及其他网络威胁会定期在暗网上发布和讨论。

　　2022 年，暗网上的数据共享急剧增加。上游 AutoThreat? PRO 网络分析师在未索引的暗网上发现了更多与汽车相关的信息。

　　为了在深网和暗网中领先于威胁行为者，必须定期监控和减轻这些风险。 产品智能和汽车专业知识对于此过程至关重要。

　　利益相关者必须监控互联网的这些区域，以避免其安全状况出现严重漏洞。 了解组织及其产品何时以及在何种情况下被公开和暗中提及，是实现有效网络安全保护的关键。 UNECE WP.29 R155 法规和 ISO/SAE 21434 标准要求网络威胁情报和漏洞监控。深网和暗网必须被视为这些要求的组成部分。

　　通过持续监控深网和暗网，组织可以改进检测并缩短发现漏洞或安全漏洞信息传播到大众之间的时间。

　　他们还可以采取预防措施，例如部署软件补丁程序或更改相关配置。 组织应努力最大限度地减少犯罪分子复制和出售泄露数据的机会，并向汽车合作伙伴、员工、主要管理人员和客户提供潜在利用的预警。

　　但是，许多OEM、一级和二级供应商以及其他移动利益相关者都面临着传统 IT 威胁情报产品中缺乏互联车辆特定领域专业知识的挑战。

　　Upstream 的 AutoThreat? PRO 旨在克服这些挑战，因为它专为移动生态系统而构建，涵盖整个供应链。该解决方案收集、分析和传播特定于汽车和智能移动生态系统的网络威胁情报，并为包括OEM、一级和二级供应商、互联汽车服务提供商、保险公司等在内的各个汽车领域量身定制。

　　通过其威胁情报工作，Upstream 主动监控深网和暗网，并在新兴的汽车相关网络趋势和威胁参与者为公众所知之前发现它们。这使得 Upstream 能够在新的漏洞、漏洞利用和欺诈操作广泛传播到深暗网络之前识别和缓解它们。

　　有了正确的网络威胁情报，汽车生态系统利益相关者可以主动实施必要的网络安全措施，以防止下一次网络事件 .

　　监管机构和执法机构也对暗网采取明确立场

　　2022 年 4 月 12 日，美国司法部宣布查封 RaidForums 网站，这是网络犯罪分子买卖被黑数据的热门市场。从 2015 年开始，RaidForums 出售了超过 100 亿条消费者记录。该论坛还用于共享敏感的汽车 OEM 数据。

　　联邦调查局华盛顿外地办事处和美国特勤局与欧洲刑警组织联合网络犯罪行动特别工作组以及英国、瑞典、罗马尼亚、葡萄牙和德国当局合作，大规模联合执法行动也导致网站管理员被捕。

　　据美国政府官员称，网络犯罪分子因此次下架失去了主要收入来源。 然而，安全专业人士表示，此次下架对黑客来说只是暂时的挫折，因为他们会找到其他市场来转售他们盗窃的数据。

　　随着世界各地的当局打击网络犯罪，此次下架也向其他暗网市场发出警告，它们可能是下一个。