2025年8月底，某知名車企遭遇了一次嚴重的網絡攻擊，為防止攻擊進一步擴散，該車企被迫關閉了其核心IT系統(tǒng)，導致其全球范圍內的制造和零售業(yè)務受到嚴重干擾，多個工廠被迫停產、經銷商無法注冊新車，甚至全球數(shù)百萬用戶無法進行維保服務。在事件發(fā)生三周后，該車企仍未恢復生產，而據(jù)外媒分析，此次停產可能會持續(xù)到11月，這期間每周造成至少5000萬英鎊的損失。

未然實驗室對該攻擊事件及已披露漏洞進行了跟蹤分析。攻擊者自稱是“Scattered Lapsus$Hunters”，此前曾攻擊過瑪莎百貨、哈羅德百貨等知名企業(yè)。他們聲稱利用了該車企SAP（企業(yè)級集成平臺）系統(tǒng)中的漏洞實現(xiàn)了攻擊入侵。

攻擊事件時間線

8月底，攻擊者“Scattered Lapsus$Hunters”在 Telegram 頻道上發(fā)布了該車企的內部系統(tǒng)截圖，聲稱已經入侵其關鍵系統(tǒng)。

9月初，該車企立即采取措施關閉了全球IT系統(tǒng)，以防止攻擊擴散。并公開承認遭遇“網絡事件”，并確認其零售和生產活動受到嚴重干擾。

9月中旬左右，車企再次發(fā)布聲明，承認攻擊者竊取了公司的“一些數(shù)據(jù)”，并宣布再次延長停產措施，計劃最早于9月24日逐步恢復生產。

目前，事件發(fā)生三周，該車企在海外多地的工廠仍未能復產，供應鏈企業(yè)也因訂單中斷而陷入困境。

攻擊方式解析

根據(jù)黑客向《每日電訊報》透露的信息，以及安全媒體Onapsis的分析，這次攻擊的核心突破口是該車企使用的SAP NetWeaver系統(tǒng)（SAP NetWeaver是SAP公司開發(fā)的企業(yè)級集成平臺，被全球數(shù)萬家企業(yè)用于連接和協(xié)調其財務、生產、銷售等不同模塊）。

攻擊者利用SAP系統(tǒng)中的兩個已公開漏洞（CVE-2025-31324和CVE-2025-42999），在未經授權的情況下構造惡意請求，觸發(fā)系統(tǒng)內的反序列化漏洞。通過這一操作，攻擊者成功上傳木馬文件，并以管理員權限執(zhí)行任意命令，最終完全控制了目標服務器。

攻擊影響

此次網絡攻擊造成了廣泛而深遠的影響，不僅波及該車企的核心生產，還對零售、供應鏈以及潛在的財務和聲譽產生了顯著沖擊。

運營和生產中斷

網絡攻擊對該車企的運營造成了“嚴重中斷”，為緩解攻擊影響并遏制其擴散，該車企主動關閉了其全球IT系統(tǒng)。這一決策直接導致了英國多家工廠及海外工廠的停產。這些工廠的員工被指示不要上班或提前回家，導致車輛組裝和發(fā)動機生產線完全停滯。根據(jù)BBC等媒體報道，每停產一周，該車企至少損失約5000萬英鎊。

新車注冊與交付停滯

攻擊發(fā)生的時間點極為敏感，恰逢2025年9月1日新牌照日，這是一個新車銷售和交付的旺季。由于該車企的IT系統(tǒng)癱瘓，英國經銷商無法進行新車注冊或處理新的訂單。據(jù)悉，當時的一些新車交付被迫采用手工流程：銷售人員填寫紙質文件，再由政府車輛管理部門線下登記車牌。

售后服務供應中斷

有媒體報道稱，由于系統(tǒng)宕機，全球數(shù)百萬車主在一段時間內無法正常獲得維修服務。雖然該車企尚未公布確切受影響客戶數(shù)，但經銷商反映許多等待維修的車輛因配件訂貨系統(tǒng)停擺而延遲修復。這將對該車企的客戶滿意度造成不良影響，也可能引發(fā)部分車主的索賠或投訴。

華為星河AI網絡安全方案已支持檢測和攔截該漏洞

針對該事件相關的安全漏洞，華為依托于星河AI網絡安全方案能力，快速上線了漏洞簽名，目前華為星河AI網絡安全方案已支持檢測和攔截該漏洞。

華為星河AI網絡安全產品不但自身安全可靠，在檢測和防御能力也領先業(yè)界，可以廣泛應用于企業(yè)、運營商等行業(yè)。

在企業(yè)安全的多分支場景，華為防火墻集成Emulator微內核脫殼引擎與AI安全檢測算法。Emulator脫殼引擎可對加殼文件實施解密脫殼操作，AI安全檢測技術則針對解密后的文件進行動態(tài)行為分析，未知威脅檢測率95%，領先業(yè)界15%。

在安全園區(qū)場景，華為依托AI訪問關系的自學習能力，自動生成策略，實現(xiàn)東西向4-7層的微隔離效果，有效防止威脅在內外蔓延；同時，通過端云聯(lián)動防御，實現(xiàn)100跳深度溯源，精準定位攻擊源頭。

在安全數(shù)據(jù)中心場景，華為首創(chuàng)勒索加密回滾技術，能確保勒索加密文件實現(xiàn)100%恢復，全方位守護數(shù)據(jù)安全。