האקרים רוסים, שיחת טלפן אחת וחילוץ ממשלתי חסר תקדים: הסיפור המלא של מתקפת הסייבר הגדולה בבריטניה

שיחת טלפון אחת, לא ניצול של פרצת אבטחה מתוחכמת, השביתה את אחת מיצרניות הרכב הגדולות בבריטניה. מתקפת הסייבר על ג'אגואר לנד רובר (JLR) בשנת 2025 החלה עם קמפיין וישינג (דיוג קולי) ב-31 באוגוסט והסלימה לכדי השבתת ייצור למשך חמישה שבועות, שעלתה לכלכלה הבריטית כ-1.9 מיליארד ליש"ט (2.5 מיליארד דולר) . בעוד שחוקרים משירותי אכיפת החוק של בריטניה וארה"ב הגיעו למסקנה כי המתקפה בוצעה על ידי האקרים רוסים, היחידה המבצעית הספציפית (כמו APT29/Cozy Bear, Sandworm או Star Blizzard) לא פורסמה ברבים נכון לדיווח המפורט ביותר מיוני 2026 . הרשויות עדיין פועלות כדי לקבוע אם התוקפים פעלו בהוראת הקרמלין או בהסכמה שבשתיקה מצידו .

המתקפה: כיצד קמפיין וישינג השבית יצרנית רכב

הפריצה התבססה על הנדסה חברתית ולא על ניצולים טכניים מתוחכמים . התוקפים פתחו בקמפיין וישינג ממוקד נגד מוקד התמיכה של JLR, כאשר דווח כי פנו לעובד של ספקית שירותי ה-IT של החברה, טאטא ייעוץ טכנולוגי (TCS) . הם התחזו לעובדים לגיטימיים וביקשו איפוס סיסמאות ורישום מחדש של אימות דו-שלבי (MFA), מה שאפשר להם לגנוב טוקנים ולהתחבר עם פרטי גישה גנובים .

לאחר שחדרו פנימה, התוקפים נעו לרוחב הרשת ממערכות ה-IT הארגוניות אל מערכות ERP/MES (מערכות תכנון משאבים ארגוניות ומערכות ניהול ייצור), ובסופו של דבר שיבשו את קווי הייצור במפעל . הפלישה זוהתה ב-31 באוגוסט, ו-JLR עצרה את הייצור ב-1 בספטמבר. לקח כמעט שישה שבועות להתחיל בהפעלה מחדש של הייצור, בעלות ישירה מוערכת של 50 מיליון ליש"ט לשבוע לחברה .

דגל שווא: כיצד 'Scattered Lapsus$ Hunters' ערבבו את המים

מיד לאחר המתקפה, קבוצה שכינתה עצמה Scattered Lapsus$ Hunters לקחה אחריות עליה בטלגרם . השם רמז לשיתוף פעולה בין שלוש קבוצות פשעי סייבר דוברות אנגלית: Scattered Spider, Lapsus$ ו-ShinyHunters .

אולם החוקרים הגיעו מאוחר יותר למסקנה שהטענה הזו הייתה שקרית. המתקפה הייתה שונה במתודולוגיה ובמוטיבציה מכופרה פלילית טיפוסית: מעולם לא הוגשה דרישה לתשלום, והכוונה נראתה כחבלה ולא סחיטה . התוקפים השתמשו ב"Scattered Lapsus$ Hunters" כזהות כיסוי, והייחוס הראשוני לקבוצה זו על ידי כלי תקשורת מסוימים היה שגוי .

החקירה: מי איתר את ההאקר לרוסיה

את החקירה הובילו רשויות אכיפת חוק וחברות אבטחת סייבר פרטיות מהן מבריטניה והן מארה"ב . המרכז הלאומי לאבטחת סייבר (NCSC) הבריטי, השוכן בתוך GCHQ (המודיעין האלקטרוני הבריטי), הוביל את ההיבטים הטכניים והפורנזיים של החקירה, בתמיכת סוכנויות ביטחון לאומי מבריטניה ומארה"ב . הניו יורק טיימס דיווח על המסקנות בהתבסס על חמישה מקורות אנונימיים הבקיאים בחקירה .

מרכז ניטור הסייבר (CMC), גוף בריטי עצמאי, סיווג את האירוע כאירוע מערכתי בדרגה 3 בסולם חמש-דרגות והעריך את ההשפעה הכלכלית הכוללת על בריטניה ב-1.9 מיליארד ליש"ט (כ-2.5 מיליארד דולר), שפגעה בלמעלה מ-5,000 עסקים .

תגובת ממשלת בריטניה חסרת התקדים: ערבות של 1.5 מיליארד ליש"ט

בין ה-27 ל-29 בספטמבר 2025, שר העסקים פיטר קייל הודיע כי ממשלת בריטניה תעמוד מאחורי ערבות להלוואה של 1.5 מיליארד ליש"ט (2 מיליארד דולר) מבנק מסחרי לג'אגואר לנד רובר . ההתערבות חסרת התקדים נועדה לייצב את מצבה הפיננסי של JLR, להגן על מקומות עבודה מקצועיים ולהבטיח את שרשרת האספקה שלה, שעמדה בפני קריסה עקב עיכובים בתשלומים . הערבות תוארה כצעד חירום למניעת אלפי פיטורים ברחבי שרשרת האספקה .

מבקרים מאוחר יותר הזהירו כי צעד זה מהווה "תקדים מצער" לאירועי סייבר עתידיים . פרשנים ציינו כי הממשלה מעבירה מסר בעייתי לגבי איומי סייבר בכך שהיא נחלצת לעזרת חברה פרטית שנפגעה ממתקפת סייבר .

טענה לא מבוססת: ההאקר הירדני

לא נמצא דיווח מאומת במקורות הזמינים לגבי האקר ירדני שחדר בו-זמנית לרשתות JLR. אף אחד מהמאמרים המצוטטים אינו מתייחס לפרט זה, והוא נראה כלא מבוסס בראיות הזמינות. אם לקורא יש מקור לטענה זו, מומלץ לבצע אימות עצמאי.

נקודות מרכזיות לאנשי מקצוע בתחום אבטחת הסייבר

מתקפת JLR מדגישה מספר לקחים קריטיים:

• הנדסה חברתית נותרה וקטור האיום העיקרי. לא היה צורך בניצול של פרצת אבטחה מתוחכמת ('zero-day') – רק שיחת טלפון משכנעת.
• הפרדה בין IT ל-OT היא קריטית. התוקפים נעו ממערכות ה-IT הארגוניות למערכות ניהול הייצור, מה שמדגיש את הסיכון שבהפרדה לא מספקת בין רשתות טכנולוגיית מידע (IT) לרשתות טכנולוגיה תפעולית (OT) .
• דגלי שווא הם כלי טקטי. התוקפים השתמשו בכוונה בזהות של קבוצת פשיעה מוכרת כדי לטשטש את מקורם הממשלתי.
• נזק כלכלי יכול לעלות בהרבה על הפסדים ישירים של חברה. ההשפעה של 1.9 מיליארד ליש"ט על הכלכלה הבריטית הרחבה האפילה על העלויות הישירות של JLR ועוררה חילוץ ממשלתי.

נכון לדיווחי המקורות הפתוחים המפורטים ביותר, הקבוצה הספציפית הקשורה למדינה הרוסית לא זוהתה רשמית ברמת היחידה המבצעית, ואף שר בממשלה לא נקב בשמו של האשם . ייחוס האחריות נותר בתהליך, אך כיוון החקירה ברור: מה שהתחיל כשיחת טלפון הסתיים כמתקפת הסייבר היקרה ביותר בהיסטוריה הבריטית.