捷豹路虎遭网络攻击停工1月，损失超10亿元的深层启示

2025年9月2日，捷豹路虎公司发布公告称，其英国三家工厂的3.3万名员工自8月底起暂停工作。随后在9月23日的最新公告中，公司表示停产将至少持续至10月1日。

据英国当地媒体报道，此次停工可能持续至11月，导致约价值17亿英镑的5万辆汽车产能停滞，造成约1.2亿英镑的利润损失，折合人民币超过10亿元。

根据捷豹路虎官方通报，事件发展经过如下。

9月2日，公司发布公告确认遭受网络攻击。

图片

9月10日，公司公告称可能存在部分数据泄露，已通知相关监管机构。

9月16日，公司宣布停产时间延长至9月24日。

9月23日，停产时间进一步延长至10月1日。

图片

一、捷豹路虎遭受攻击分析

自称“Scattered Lapsus$ Hunters”的网络犯罪团伙声称对此次事件负责，他们公布了捷豹路虎SAP系统截图，并称已部署勒索软件。

“Scattered Lapsus$ Hunters”采用的攻击手段极可能是APT攻击，这也是他们此前攻击其他企业的惯用手法。

什么是APT攻击？它与常规攻击的最大区别在于针对性。攻击者会提前数月通过公开信息，如官网、招聘信息、企业社交账号进行“踩点”，摸清组织架构、网络布局甚至员工习惯，然后量身定制攻击方案。潜入后不断进行横向移动，逐步窃取核心数据，并在关键时刻发起攻击，致使企业业务停摆。

APT攻击常用方式主要有四种。

第一是定向钓鱼邮件。攻击者不会群发邮件，而是针对特定岗位定制内容。比如针对HR人员，伪装成“合作猎头公司”，以“候选人简历推荐”为主题，附件暗藏恶意代码，利用HR日常处理简历的习惯突破防线。他们甚至会模仿高管的邮箱后缀，发送“紧急通知”让员工点击链接“确认工作进度”，从而窃取账号密码。

第二是供应链攻击。我们日常会使用很多工具软件，如果这些第三方服务商被攻击也会连带中招。例如攻击者篡改某款常用软件更新包，当更新软件时，恶意代码就会随之植入。

第三是内网横向攻击。一旦突破第一道防线，比如某员工的办公电脑，攻击者就像间谍进了办公楼，悄悄向核心区域渗透。他们会利用员工电脑里存储的密码，比如浏览器保存的内网系统密码，登录其他账号，甚至破解低权限账号后，升级成管理员权限。

第四是窃取数据。攻击者往往不会一次性把数据打包传走，这样容易触发流量告警，通常是蚂蚁搬家方式把核心数据压缩加密后，拆成小文件传输。

二、本次事件反应出捷豹路虎哪些问题

本次事件反映出捷豹路虎存在三方面问题。

第一是安全防御体系不完善。比如可能对员工没有定期的安全意识培训，杀毒软件没有做到百分之百覆盖。系统上线的时候很少做安全测试，数据传输没有用流量分析工具进行监控。

第二是安全运营体系不完善。比如在攻击者尝试扫描的时候，对异常频繁的扫描没有告警和处置。当攻击者进行攻击的时候，没有告警，对告警能不能做到短时间的应对和处置。安全建设遵循木桶原理，可能没有主动的安全扫描和检查，发现系统安全的薄弱点，不断提升安全水平。

第三是灾备体系不完善。为什么本次攻击造成停产这么长时间，分析原因很可能是核心系统的数据受到破坏，造成业务系统很难恢复。为什么会这样，肯定是体系化的备份不完善，备份数据没有足够的权限隔离，甚至没有离线的备份数据。另外，本次事件也表明捷豹路虎缺乏体系化的灾备演练，出现极端情况的时候，没有快速恢复机制。

三、如何预防类似攻击

针对类似攻击的特点，要建立一整套体系，具体分四个层面落地。

第一，外部防御，筑牢大门。按照纵深防御理念，补齐安全产品，做到多层面立体化防御。比如物理层面的门禁、摄像头。网络层面的防火墙、流量分析产品。主机层面的杀毒软件，HIDS产品。应用层的应用防火墙WAF。数据层的数据防泄漏产品等。

另外，安全工具要发挥作用，需要建立安全运营体系，对安全工具定期巡检，能够7x24小时响应告警并处置。能够对安全设备的配置不断优化，主动的进行安全扫描和测试，不断提升安全水平，筑牢安全防线。

第二，内网隔离，按区域隔离。根据业务把网络分成办公区、工业生产区、研发区、服务器区等，每个区域默认禁止访问。根据需要开白名单，并且定期审核。管好账号权限，按照最小权限原则赋予权限，比如市场部同事只能访问市场相关数据，不允许访问研发数据。所有操作全程留痕，随时可以通过日志追溯。

第三，加强员工安全意识教育，避免员工成“突破口”。定期组织安全意识培训、钓鱼邮件演练，至少保证每年一次。鼓励员工主动上报异常情况，员工发现可疑邮件、异常弹窗，可直接反馈给安全部，对有效上报的同事给予奖励，调动全员参与防御的积极性。

第四，做好预案，万一发生极端情况能够快速止损。数据备份与恢复，核心数据落地321备份原则，即至少3份数据副本，使用2种不同的备份节奏，至少1份异地备份。制定应急预案，明确发现攻击后，谁负责隔离设备、谁负责溯源、谁负责上报。至少半年组织一次应急演练，确保极短时间内能够响应，隔离受影响区域。