Hakerzy, którzy zatrzymali Jaguara. Jak cyberatak wstrząsnął brytyjską gospodarką

Dane ONS, brytyjskiego urzędu statystycznego, nie pozostawiają wątpliwości. We wrześniu gospodarka brytyjska skurczyła się o 0,1 proc. w skali miesiąca. Wpływ na to miał spadek produkcji przemysłowej o 2 proc., głównie z powodu 28,6 proc. spadku w produkcji pojazdów silnikowych. Ten zaś był bezpośrednim skutkiem wstrzymania działalności przez koncern JLR. Przestoje w pracy fabryk JLR poważnie zakłóciły łańcuch dostaw i obniżyły miesięczny PKB Wielkiej Brytanii o 0,17 punktu procentowego. – Szczególnie wyraźny był spadek produkcji samochodów we wrześniu, odzwierciedlający wpływ incydentu cybernetycznego – potwierdza Liz McKeown, dyrektor ds. statystyk ekonomicznych w ONS.

Cyberatak, który wstrzymał znaczną część działalności JLR, miał jednak większe skutki, niż tylko zatrzymanie działalności producenta samochodów. Ujawnił, w jaki sposób zdeterminowany, dobrze finansowany podmiot może zatrzymać nowoczesne linie produkcyjne i wysłać „fale uderzeniowe” paraliżujące dostawców, sieci logistyczne, dealerów i konsumentów. W przypadku JLR straty oszacowano wstępnie na 1,9 mld funtów, a rząd brytyjski musiał pomóc ustabilizować firmę po tak potężnym ciosie, udzielając gwarancji kredytowej w wysokości 1,5 mld dol., głównie na pokrycie płatności dla dostawców.

Cios w Jaguar Land Rover w trudnym momencie

JLR, należący do indyjskiej firmy Tata Motors (kontrolę sprawują trusty rodziny Tata) i będący perłą brytyjskiej gospodarki, wznowił już większość produkcji w swoich zakładach, jak fabryka silników w Wolverhampton. Koncern ujawnił w piątek, że zanotował kwartalną stratę w wysokości 559 mln funtów (735 mln dol.) i musiał obniżyć swoje prognozy. Richard Molyneux, dyrektor finansowy JLR, powiedział na spotkaniu z dziennikarzami podsumowującym kwartał, że atak hakerski był „niepodobny do niczego, czego doświadczył”. Stwierdził, że amerykańskie cła są szokiem, który łatwo zrozumieć i nim zarządzać, ale zmaganie się z cyberatakiem jest „znacznie trudniejsze”.

Czytaj więcej

Tu i Teraz

Cyberatak na JLR ujawnił słabość całej branży. 1,9 mld funtów strat

Eksperci szacują, że atak na brytyjskiego producenta samochodów Jaguar-Land Rover to najbardziej...

Cyberatak uderzył w JLR w bardzo niewygodnym momencie: Jaguar jest w trakcie kontrowersyjnego rebrandingu, przekształcając markę w luksusową i w pełni elektryczną. Reklama skoncentrowana na różnorodności wywołała krytykę ze strony lojalnych klientów i prezydenta USA Donalda Trumpa, który nazwał ją „poważnie woke” (zbyt poprawną politycznie).

Brytyjski przemysł samochodowy od dawna znajduje się na równi pochyłej, do czego przyczyniły się brexit, przejście na pojazdy elektryczne i rosnące koszty energii. Produkcja skurczyła się o ponad połowę od szczytu w 2016 r. Cyberatak uderzył też w wielką sieć około 5 tys. współpracujących firm w Wielkiej Brytanii. Np. firma Genex UK, zajmująca się tłoczeniem metalowych części dla JLR, musiała wstrzymać produkcję i rozpocząć zwolnienia pracowników po tym, jak zabrakło jej miejsca i materiałów na zapasy. Brytyjski łańcuch dostaw JLR zapewnia 104 tys. miejsc pracy w całym kraju.

Zignorowane ostrzeżenia etycznych hakerów

Jak doszło do katastrofy? Jak podał Bloomberg, ukierunkowaną kampanię przeciw JLR już na około dziesięć tygodni przed zatrzymaniem produkcji dostrzegł start-up oferujący usługi cyberbezpieczeństwa Deep Specter i ostrzegł giganta. Deep Specter zostało założone przez Shayę Feedmana, byłego szefa cyberbezpieczeństwa w Porsche Digital. Feedman zdradził, że narzędzia jego firmy zasygnalizowały sygnały intencji grup atakujących JLR, wraz ze wzrostem ilości wrażliwych danych firmy pojawiających się w darknecie. – Nasza technologia pozwala nam zidentyfikować zamiar grup atakujących do włamania się do konkretnej firmy – powiedział Feedman, cytowany przez „The Jerusalem Post”. – Widzieliśmy korelację między ilością wrażliwych informacji wyciekających z Jaguar Land Rover do darknetu, co umacniało nasz pogląd, że nie była to jednorazowa kampania.

Czytaj więcej

IT

„Aplikacja do hejtu mężczyzn” zaatakowana. Do sieci trafiły tysiące zdjęć kobiet

Randkowa aplikacja Tea, stworzona w celu ochrony kobiet przed niebezpiecznymi mężczyznami, sama s...

Europejskie przepisy wymagają, aby firmy utrzymywały bezpieczne skrzynki odbiorcze na takie ostrzeżenia, a od etycznych hakerów (white hat) oczekuje się powiadamiania potencjalnych celów. – Zostawiliśmy wiadomość w skrzynce odbiorczej i zapytaliśmy, w jaki sposób chcą otrzymać szczegóły. Do dziś nie otrzymaliśmy odpowiedzi – powiedział Feedman, dodając, że JLR zignorował ostrzeżenia.

Kto i jak zaatakował Jaguara?

Jaguar Land Rover po raz pierwszy wykrył atak 31 sierpnia. Przestępczy gang nazywający siebie „Scattered Lapsus$ Hunters” – luźna koalicja hakerów powiązana z trzema różnymi grupami – wziął odpowiedzialność za włamanie, twierdząc, że uzyskał dostęp, wykorzystując lukę w platformie technologicznej zwanej SAP NetWeaver. Zazwyczaj w takich atakach hakerzy grożą ujawnieniem danych lub zablokowaniem komputerów, chyba że firma zapłaci okup.\

Czytaj więcej

IT

Koniec z wielkimi okupami. Powstaje globalny sojusz przeciw hakerom

Czterdzieści krajów sojuszu pod przewodnictwem USA planuje podpisać zobowiązanie, że nigdy nie za...

Incydent nie wydawał się być związany z klasycznym oprogramowaniem ransomware. – Mieliśmy tu do czynienia z dobrze finansowanym podmiotem stojącym za atakiem, zdolnym do inwestowania w rekonesans i przygotowanie, przemieszczającym się z maszyny na maszynę bez wykrycia. Mówimy o inwestycji rzędu milionów, z przygotowaniami, które prawdopodobnie trwały jeden do dwóch lat – tłumaczy Feedman.

Jak hakerzy mogą zatrzymać trzy linie produkcyjne samochodów? Problemem jest kruchość systemu produkcji „just-in-time”, co ma obniżać koszty firm. Ciężarówki nieustannie dostarczają komponenty do zsynchronizowanych linii, które zatrzymują się tylko na planową konserwację. To słaby punkt producentów: muszą oni być w stanie izolować sieć linii produkcyjnej od reszty operacji. Choć niektóre systemy koncernu były odgrodzone od Internetu, istniały pewne „dziury”, które otworzyły dostęp do kluczowych systemów na atak zewnętrzny. Według Bloomberga duża część infrastruktury IT firmy datuje się na czasy, gdy firmą zarządzała Ford Motor Co. JLR zainwestował w nową infrastrukturę IT, ale zbudował ją na modelu Forda, zamiast go wymieniać. Stworzyło to skomplikowany zestaw nakładających się na siebie systemów, co wygenerowało potencjalne luki.

JLR był już wcześniej celem ataków. W 2021 r. hakerzy wykradli dane pracowników, a w marcu 2025 r. firma została zhakowana przez gang Hellcat za pomocą infostealera (złośliwego oprogramowania zbierającego hasła). Hakerzy z marcowego włamania byli powiązani z grupą Scattered Lapsus$ Hunters, która uderzyła w sierpniu. Po wykryciu ataku JLR wyłączył systemy, ale wpływ był natychmiastowy. Produkcja została wstrzymana w fabrykach w Wielkiej Brytanii, a także w Chinach, Indiach, Brazylii i na Słowacji.

– Można sobie wyobrazić, ile czasu zajęłoby im, pracując na kopiach zapasowych, ponowne wprowadzenie tych danych do swoich systemów – powiedział Charles Tennant, analityk przemysłu motoryzacyjnego, cytowany przez Bloomberga.

Brytyjski precedens. Czy ratować koncerny?

Czy inne firmy mogą również zostać w podobny sposób zaatakowane? – To się już dzieje. Nadciąga fala kampanii wymierzonych w przemysł motoryzacyjny, o niejasnym pochodzeniu – mówi Feedman. – Wysyłaliśmy ostrzeżenia o wykrytych przez nas elementach do BMW i do innych producentów. – Dlatego producenci samochodów teraz drżą. Do dziś linie produkcyjne były zatrzymywane przez wydarzenia takie jak wojny światowe. Teraz dzieje się to po raz pierwszy z powodu cyberataku.