通用汽车、本田、丰田汽车经销商在CDK网络攻击后陷入混乱-彭博社

Alexander Sugiura, Kim Gittleson, Sarah Holder

2024-07-04

加利福尼亚州的汽车出售。

摄影师：David Paul Morris/Bloomberg乔·拜登总统摄影师：Cornell Watson/Bloomberg 永远不要错过任何一集。立即关注 大事件每日播客。

## 大事件

黑客如何劫持汽车行业

16:41

在六月中旬，北美汽车销售行业因为复杂的网络犯罪分子攻击了几乎垄断该行业的软件提供商CDK Global而陷入停滞。这在汽车购买旺季中造成了混乱。经销商无法访问他们的库存。买家无法把车开出去。顾客担心他们的个人数据。

在今天的大事件播客中，彭博资深技术编辑Dana Wollman和主持人Sarah Holder讨论了经销商恢复正常运营可能会是什么样子，这次停机背后的黑客团伙是如何运作的，以及为什么依赖集中软件系统的行业 — 从教育到医疗保健 — 都容易受到攻击。

阅读更多：黑衣服网络犯罪团伙被指责在引发汽车经销商混乱的CDK黑客事件中起作用

听并关注The Big Take在 Apple Podcasts, Spotify 或任何您获取播客的地方

终端客户端：在桌面上运行 {NSUB BIGTAKEPOD <GO>} 以订阅

这是对话的轻微编辑转录：

Sarah Holder：Debra Griffith在汽车经销商工作了40多年，处理保修索赔。几周前，6月中旬，她登录到工作的电脑上，注意到一家名为CDK的公司制作的一款关键软件停止工作了。

Debra Griffith：我从未经历过这样的事情。我当时就想，‘到底发生了什么？’

Holder：CDK被全国绝大多数经销商用来跟踪购买、零件和保修。但CDK已经离线数小时了。短暂的中断并不罕见。这次奇怪的是，Debra没有看到CDK发布任何关于升级或维护的更新。

Griffith：CDK有一个服务门户。如果全国出了什么问题。他们会在那里发布消息，就像任何网站一样，我们正在经历这次中断，你知道，我们正在处理，你知道，类似这样的内容。但那里什么都没有。

Holder：最终，德布拉接到了她的一个联系人的电话。

Griffith：他给我打电话说，CDK公司刚给他打电话。每个人现在都必须注销。他说，我是说，现在有事情发生了。他们被黑客攻击了。你知道的，告诉你的老板们，打电话给你的公司，告诉他们每个人现在都需要注销。

Holder：在北美各地的经销商活动都停滞了，因为CDK在6月19日关闭了系统以应对这次黑客攻击。经销商无法访问他们的库存。买家无法把车开出去。德布拉也无法处理任何保修索赔。

Holder：这对你尝试做的工作有多大的破坏？

Griffith：非常，非常，我，我，没有任何事情，绝对没有任何事情我能做，绝对没有。

Holder：夏季对汽车行业尤为重要。在一个关键季节的中间，寻求购买、经销商和车主寻求维修他们的车辆的人都被搁置了。

周二公布的数据显示，美国汽车销售增长放缓。丰田报告称，与去年同期相比，6月份下降了1.2%，而起亚则下降了6.5%。

一些公司报告的季度收入显示，第二季度销售略有增长。对于通用汽车来说，增长了0.6%。但与去年的增长19%相比，这是一个下降。

Dana Wollman：这是价值数百万美元的销售。

持有者：彭博资深科技编辑丹娜·沃尔曼一直带领着一个报道这次黑客事件的团队。

沃尔曼：我是说，甚至单个汽车经销商都表示他们在交易中损失了数百万美元。这真的很严重。太大了。

持有者：根据独立媒体，这次黑客事件背后的组织被称为黑衣人，据报道他们要求支付数千万美元的赎金。彭博报道CDK同意支付了这笔赎金，因为让CDK长时间下线的后果对汽车行业将是灾难性的。

沃尔曼：在一个繁忙的时期失去了销售额，我不确定所有的经销商都能弥补这个损失。

持有者：今天在节目中：一群高级黑客如何让汽车销售行业在关键几周内陷入困境，经销商的复苏之路会是什么样子，黑客可能下一个会瞄准哪里。

我是莎拉·霍尔德，这里是彭博新闻的重要观点。

持有者：软件公司CDK Global并不是一个家喻户晓的名字，彭博资深科技编辑丹娜·沃尔曼说。

沃尔曼：在这个故事曝光之前，我实际上并不知道CDK是一个怎样的公司。我其实也不知道有多少同事听说过这家公司。我猜很多我们的读者也没听说过这家公司。

持有者：但对于北美各地的汽车经销商来说，CDK提供的定制软件至关重要。

**沃尔曼：**它被用来管理他们日常业务的几乎每个方面，从安排约会到跟踪库存，另外还包括完成交易。所以没有这个软件，业务将会陷入停滞并已经停滞。

**霍尔德：**如果你在美国的一家汽车经销商购买过汽车，那么你的数据很可能经过了这个软件。在北美约有15,000家汽车经销商在使用它。

**沃尔曼：**他们确实有竞争对手，但显然是这个非常专业领域的主导者。至少根据CDK自己在这次攻击之前的说法，通过该软件进行的交易占据了大约国内生产总值的2%。

**霍尔德：**为了更好理解，这大约是5650亿美元。这种近乎垄断地位使得CDK公司获得了可观的利润，该公司在两年多前被资产管理公司布鲁克菲尔德以83亿美元收购。但这种地位也使得该公司成为网络攻击的脆弱目标。

**沃尔曼：**这起事件始于美国的一个联邦假日“六月节”，那是汽车经销商预计会是一个繁忙的销售日，而且已经是一个繁忙的季节。

**霍尔德：**那一天，有消息称一个经验丰富的网络犯罪组织BlackSuit，稍后我们会详细介绍，已经侵入了CDK系统。这迫使CDK关闭系统以应对干扰。

**沃尔曼：**截至目前，大多数或许是许多经销商仍然处于离线状态。

**霍尔德：**达娜和我在周一进行了交谈。 CDK表示预计到7月4日星期四之前，一切都将恢复在线。但与此同时，对于所有依赖其服务的经销商来说，失去对CDK的访问就像在Instagram崩溃时尝试作为Instagram影响者工作，或者在Slack中断期间尝试制作播客一样。这是极其具有破坏性的。

**沃尔曼：**这要么完全，要么大部分地使这些经销商的业务陷入停顿。这不仅仅是他们无法完成汽车销售，我们知道这一点。但还有其他一些事情我甚至没有考虑到汽车经销商可能正在做的事情。比如尝试与另一家经销商交换库存。也许另一家经销商有您的客户想要的特定配置的汽车。另一个具体的例子是寻找替换零件。有一个数据库，您可以在其中为需要零件的客户查找零件。当这些零件在线跟踪或在线索引化时，要定位这些零件是非常困难的，而您无法访问这些系统。许多这些经销商处于停止服务状态，他们要么不为客户提供服务，要么在某种程度上采取这种与人打交道的老式方式。

**霍尔德：**达娜确实是指老式的。这些经销商的工作人员开始手写合同并在纸上记录换油。有些人不得不依赖自己的直觉做出一些非常关键的决定。比如试图判断买家是否有足够的信用来开走一辆车。

沃尔曼： 从某种意义上说，他们只是凭直觉做出这些决定，否则这些决定本应由数据和硬性数字驱动。

**霍尔德：**显然，这对汽车销售商和CDK来说都是一个巨大的痛苦，现在他们正面临来自经销商、修理店和客户的诉讼。这些客户还有另一件重要的事情要考虑：黑客访问CDK系统时可能也获取了他们的个人数据。

**霍尔德：**消费者应该担心这次黑客攻击吗？

**沃尔曼：**我会感到担忧，而且在我们的报道中发现，客户们自己也表达了担忧。我们亲自访问了一些汽车经销商，发现除了黑客攻击使这些系统瘫痪之外，这次黑客攻击更隐藏的影响是客户现在对购买汽车感到谨慎。

他们在报纸上读到了这次攻击的消息，对把数据交给汽车经销商感到有些紧张。所以我认为除了汽车购物者是否应该感到紧张的问题之外，他们已经感到紧张。这对汽车销售产生了难以衡量的影响，甚至在现代系统减速使交易变得困难的情况下也是如此。

霍尔德：广告过后，我们将讨论的不仅仅是汽车。我们将揭示谁是CDK黑客背后的人，以及为什么其他公司应该保持高度警惕。

霍尔德：现在的情况是这样的：近两周来，全国数千家汽车经销商无法访问CDK的软件，这对从评估信用价值到确定有哪些汽车可供销售等方面至关重要。这导致数百万美元的销售损失。彭博资深技术编辑丹娜·沃尔曼表示，找出谁是这次攻击的幕后人员并不容易。

**持有人：**谁是发动攻击的黑客组织？

**沃尔曼：**所以今天至少他们被称为黑色西装，我说至少是因为，这些组织经常故意更改他们的名称，以使自己更难追踪和监视。

**持有人：**根据安全专家的说法 - 在黑色西装之前，他们也被称为皇家。

那个组织一年前发动了一次网络攻击，迫使达拉斯市关闭了其计算机系统，包括当地消防部门依赖于跟踪紧急情况的系统。四天来，达拉斯的消防员不得不在地图上移动磁铁来跟踪事件并管理他们的队伍。

皇家的一些成员来自有史以来最臭名昭著的黑客组织之一，Conti。这意味着黑色西装有一个相当…杰出的家族谱。

**沃尔曼：**他们是一群非常有经验的黑客和敲诈者。我们描述他们有点低调和商业化，好像他们并不想干扰任何人。他们只是想经营一家企业。

**持有人：**为了经营这家企业，黑色西装采取了双管齐下的方法。

**沃尔曼：**首先，他们从事我们在报道中称之为双重敲诈。即关闭服务并威胁在线发布用户数据。我们在报道中还描述他们提供所谓的勒索软件服务。

持有者：“勒索软件即服务。” Dana说这意味着BlackSuit基本上提供其技能来黑客攻击易受攻击的公司，或学区，或图书馆，无论谁愿意为此付费。

**沃尔曼：**在与我的，嗯，同事讨论这个问题时，我起初将其比作雇佣兵，我的一位同事说，实际上他们更像是军火商：即使他们自己没有实施攻击，他们也提供了网络武器，然后其他人利用它们实施攻击。然后幕后的每个人都从中获利。

**持有者：**消息人士告诉彭博社，总的来说，BlackSuit要求赎金在30万美元至500万美元之间。据一位向彭博社透露的消息人士称，BlackSuit向CDK要求数千万美元的赎金，CDK计划支付这笔赎金。

**沃尔曼：**他们自己并没有在他们的网站上将CDK列为受害者，我们报道说这对他们来说是典型做法。他们的网站上列出了近百个受害者。而那些只是被列出的受害者。如果一个受害者支付了勒索费，他们的名字甚至不会出现。我们报道说CDK打算支付赎金。而且总的来说，很难让黑客就彭博社的报道发表评论。

**持有者：**到目前为止，尚不清楚BlackSuit是代表自己行事还是代表其他人。我发现令人惊讶的是BlackSuit是如何获取对CDK系统的访问权限的。Dana说他们是通过所谓的“社会工程”来实现的。实际上，这意味着…

**沃尔曼：**假扮成员工。

**霍尔德：**没错。黑客假扮成员工，欺骗客户帮助他们访问公司的系统。

**沃尔曼：**这也提醒我们，并不是所有的黑客行为都像电影中描绘的那样，看到电影中描绘的黑客。并不一定是对代码漏洞的利用。有时候确实存在这种令人信服的说服力。

**霍尔德：**嗯。是的。他们并不需要像我们想象的那样入侵主机。他们只需要假装自己是员工，通过这种方式获取访问权限。

**沃尔曼：**在某种程度上，是的。

**霍尔德：**安全分析人员表示，CDK并不是第一个落入BlackSuit战术陷阱的组织。最近的受害者还包括堪萨斯城警察局和乔治亚州的一个学区。但达娜表示，有一个特定的领域让她最担心。

**沃尔曼：**医疗保健领域，电子医疗保健提供商。这是一个庞大的行业，但我不认为在这个行业中有很多种类。我认为看到像CDK这样的准垄断并不罕见。但我认为存在类似的情况，一旦这些公司接入这种软件，他们很难退出并转移到另一种软件，无论是因为他们被锁定在五年的合同中，还是因为难以将他们的数据迁移到其他地方，或者因为你必须培训所有这些员工使用新软件，而他们本来可以完成工作。

**持有者：**最近，英国国家医疗服务系统表示正在调查有关黑客发布了从几家伦敦医院窃取的机密数据的说法。

**沃尔曼：**黑客获取了这些涉及非常敏感的患者数据，涉及人们的血液检查和孕妇。

**持有者：**随着数据漏洞的风险越来越高，我问 Dana，CDK 是否支付赎金会树立一个不好的先例。

**持有者：**有一种观点认为支付赎金只会鼓励未来的黑客。这里是否存在担忧？

**沃尔曼：**我的意思是，不是我自己发表评论，这是网络安全社区中的一个活跃辩论，我认为有人认同这种观点，尽管公开被点名和羞辱以及接受更广泛影响是多么困难，从更广泛的角度来看，拉开镜头，长期来看继续支付这些赎金是破坏性的。我不会说在这方面存在共识，但在网络威胁社区中似乎是一个活跃的辩论来源。

**持有者：**无论如何，Dana 表示 CDK 的情况不太可能是最后一个，趋势是朝着更具潜在破坏性后果的方向发展，而不仅仅是无法购买汽车。

**沃尔曼：**这些攻击似乎毫不停歇，而且它们尤其残忍。

**持有者：**CDK 的黑客攻击对于任何过度依赖某一款软件的行业都是一个警示，Dana 说。但目前 - 黛布拉·格里菲斯仍在努力应对这次黑客攻击给她造成的混乱。

格里菲斯：所以，我的意思是，嗯，是的，混乱。你用的那个词很好。你知道吗？

霍尔德：如果CDK在7月4日之前不能让一切恢复正常，会发生什么？这会对行业有什么影响？

格里菲斯：我的意思是，如果你在经销商那里，尤其是在服务部门，你知道，每次有东西坏了，你不想坏，你知道，你不能坐在那里抱怨，你知道，你必须应对并且你必须，你知道，想出一个解决方案。不要为为什么而哭泣，你知道。

本集由：亚历克斯·杉浦制作；高级制片人：娜奥米·沙文和金·吉特尔森；编辑：亚伦·爱德华兹；高级编辑：伊丽莎白·庞索。执行制片人：尼科尔·宾斯特博尔；音效设计/工程师：里什·巴杰卡尔；事实核查：托马斯·卢。

对总统乔·拜登施加压力的鼓噪声在周三加剧，一篇爆炸性报道在纽约时报中指出，他已向一个关键盟友承认了这种可能性，以及他自己党内要求他退出的动向。

白宫和拜登的竞选团队迅速否认了时报的报道，该报道暗示总统向一名支持者表示，他无法承受另一次严重损害他竞选的失误。拜登本人向竞选团队坚称他打算继续参加竞选。