撰文 / 張霖郁

編輯 / 黃大路

設(shè)計 / 琚 佳

事情始于2024年6月19日，這是美國的聯(lián)邦假日，慶祝1865年奴隸制度的結(jié)束。因為放假，所以4S店工作人員預(yù)計這一天會門庭若市，因為年中屬于一年的旺季。

黛布拉·格里菲斯（Debra Griffith）在這個行業(yè)已有40多年，主要在某家4S店內(nèi)辦理保修索賠業(yè)務(wù)。這一天，她登錄公司電腦，發(fā)現(xiàn)系統(tǒng)不工作。

格里菲斯說，之前從沒發(fā)生過這類事。她當(dāng)時想，“這到底是怎么回事？”

CDK有一個服務(wù)門戶，如果全美范圍內(nèi)出現(xiàn)問題，他們會在上面發(fā)消息。格里菲斯去官網(wǎng)看了下，沒有任何異常消息。

由CDK Global開發(fā)的經(jīng)銷商管理系統(tǒng)（DMS，Dealer Management System）出了問題，這家公司為北美約15000家經(jīng)銷商提供系統(tǒng)服務(wù)，是這個領(lǐng)域的老大，占據(jù)了50%左右的市場份額。美國絕大多數(shù)經(jīng)銷商都使用 CDK Global的系統(tǒng)來跟蹤整車購買、零件采購、保修信息。

系統(tǒng)中斷無人解釋的數(shù)小時后，格里菲斯接到了同行的電話。她告訴格里菲斯剛接到CDK的電話，他們說系統(tǒng)被黑客攻擊了，讓她退出系統(tǒng)，并讓她馬上告訴老板，通知每個工作人員都立刻退出系統(tǒng)。

CDK于當(dāng)天關(guān)閉了系統(tǒng)以應(yīng)對黑客攻擊，導(dǎo)致北美各地經(jīng)銷商的日常經(jīng)營陷入停頓，因為他們無法訪問庫存，客人無法提車，格里菲斯也無法處理任何保修索賠。經(jīng)銷店的員工開始手寫合同并在紙上記錄換油情況。少數(shù)人不得不依靠直覺做出一些相當(dāng)關(guān)鍵的決定，比如試圖判斷買家的信用是否足夠好，能否讓對方提車。

夏季對于汽車行業(yè)來說是一個重要時期。

7月2日美國國內(nèi)公布的數(shù)據(jù)顯示，全國銷量增長放緩。豐田官方數(shù)據(jù)顯示，6 月份銷量較去年同期下降 1.2%，起亞則下降 6.5%。一些公布季度收益的公司第二季度的銷售額略有增長。通用汽車的銷售額增長了 0.6%。但與去年 19% 的增幅相比，這一增幅并不大。

年中是各大經(jīng)銷商沖半年銷量目標(biāo)的階段，CDK導(dǎo)致經(jīng)銷商DMS系統(tǒng)中斷，大部分的北美經(jīng)銷商從6月19日就無法正常運營，原本以為幾天就能恢復(fù)，CDK官宣預(yù)計7月4日才能恢復(fù)，整整16天，對經(jīng)銷商來說損失巨大。

最終，美東時間7月1日下午4點左右，系統(tǒng)開始恢復(fù)，但也不是全面恢復(fù)。

究竟發(fā)生了什么

有消息稱，這是一個名為BlackSuit（黑西裝）的經(jīng)驗豐富的網(wǎng)絡(luò)犯罪組織入侵了CDK 系統(tǒng)，就是我們所謂的黑客攻擊。

他們索要數(shù)千萬美元的贖金。據(jù)外媒報道，CDK已同意支付這筆贖金，因為CDK長時間離線的后果將對汽車行業(yè)造成毀滅性打擊，部分經(jīng)銷商也已對CDK提出了起訴。

安全專家稱，在BlackSuit成為BlackSuit之前，他們曾自稱為Royal（皇家）。

該組織在一年前發(fā)動了一次網(wǎng)絡(luò)攻擊，導(dǎo)致達(dá)拉斯市關(guān)閉了計算機系統(tǒng)，其中包括當(dāng)?shù)叵啦块T用來跟蹤緊急情況的系統(tǒng)。當(dāng)時四天時間內(nèi)，達(dá)拉斯的消防員只能依靠地圖上的磁鐵來跟蹤事件并管理他們的消防隊員。

Royal的一些成員來自有史以來最臭名昭著的黑客組織之一Conti，這意味著 BlackSuit這個組織里有幾位“大?！薄?/p>

Conti于2019年首次被發(fā)現(xiàn)，現(xiàn)已成為網(wǎng)絡(luò)世界中最危險的勒索軟件之一，并以其在目標(biāo)系統(tǒng)中加密和部署的速度快而聞名。這個組織被認(rèn)為是流行的Ryuk勒索軟件家族的變種。據(jù)美國FBI統(tǒng)計，Conti針對全球發(fā)起了400多次網(wǎng)絡(luò)攻擊，其中四分之三的目標(biāo)位于美國，勒索金額高達(dá)2500萬美元。Conti也是當(dāng)前最貪婪的勒索團伙之一。

他們是一群經(jīng)驗豐富的黑客和敲詐者，行事低調(diào)，做事認(rèn)真，他們看起來好像不想破壞任何人，他們只是想做生意。

這次對CDK系統(tǒng)的入侵，BlackSuit采取了雙重勒索的策略。他們關(guān)閉服務(wù)并威脅要在網(wǎng)上發(fā)布用戶數(shù)據(jù)。

BlackSuit本質(zhì)上是向任何愿意付費的人提供網(wǎng)絡(luò)攻擊服務(wù)，他們的目標(biāo)一般針對公司或圖書館等。

消息人士告訴外媒，一般來說，BlackSuit要求的贖金在30萬美元至500萬美元之間。此次BlackSuit向CDK索要贖金達(dá)數(shù)千萬美元，CDK計劃支付。到目前為止，尚不清楚 BlackSuit 是代表自己還是代表其他人辦事。

BlackSuit此次是如何獲得CDK系統(tǒng)的訪問權(quán)限？據(jù)外媒報道，黑客員工可能是假扮員工，誘騙客戶幫助他們進(jìn)入公司系統(tǒng)。黑客行為不一定是利用代碼漏洞，他們只需假裝自己是員工，然后通過這種方式獲得訪問權(quán)限即可。

安全分析師表示，CDK并不是第一個成為BlackSuit策略受害者的組織，最近的受害者還包括堪薩斯城警察局和佐治亞州的一個學(xué)區(qū)。

CDK是否支付了贖金

外媒最新的報道中，并未提及CDK最終是否支付了贖金，或許這是敏感話題，媒體即便知情也不便報道。

CDK是一家擁有50年歷史的面向經(jīng)銷商的軟件服務(wù)公司，他們設(shè)計的軟件幫助經(jīng)銷商管理幾乎一切日常事務(wù)，從安排預(yù)約到跟蹤庫存，到最終交易完成。他們在北美近乎處于壟斷地位，這也使CDK獲得了可觀的利潤。這家公司兩年多前被資產(chǎn)管理公司Brookfield以83億美元收購。

如果CDK這次支付了千萬美元的贖金，是否會開創(chuàng)一個不好的先例？

關(guān)于這個話題，有人認(rèn)為支付贖金只會更多地鼓勵未來的黑客，但也有人支持支付贖金，他們認(rèn)為如果系統(tǒng)遲遲不能恢復(fù)，公司產(chǎn)生的經(jīng)濟損失更大。就這個問題，美國內(nèi)部并沒有達(dá)成共識，這似乎已經(jīng)成為網(wǎng)絡(luò)威脅社區(qū)爭論的焦點。但外媒認(rèn)為，繼續(xù)支付贖金從長遠(yuǎn)來看是具有破壞性的。

CDK黑客事件給過度依賴某款軟件敲響了警鐘。

雖然目前系統(tǒng)已在逐步恢復(fù)，CDK同時面臨此次事件引發(fā)的諸多訴訟，部分經(jīng)銷商指控其未能保護(hù)客戶和經(jīng)銷商員工，網(wǎng)絡(luò)攻擊使他們的個人信息面臨風(fēng)險。其競爭對手——考克斯汽車/經(jīng)銷商跟蹤公司、雷諾茲和雷諾茲以及 Tekion 等或許有機會了。

此次CDK事件，幾乎導(dǎo)致全美經(jīng)銷商系統(tǒng)13天的癱瘓，讓人看到網(wǎng)絡(luò)世界的脆弱性以及不安全性，CDK未來必須花費精力重建經(jīng)銷商們對其DMS和安全性的信任，50年建立起來的壟斷地位或?qū)⒂兴淖儭?/p>