Il cyberattacco a Jaguar Land Rover: la verità sugli hacker russi e le conseguenze economiche

Attribuzione e conclusioni chiave del cyberattacco a Jaguar Land Rover

Il gruppo di hacker russi responsabile non è stato ancora nominato pubblicamente a livello di unità operativa. Gli investigatori delle forze dell'ordine di Regno Unito e Stati Uniti, insieme ad aziende di cybersecurity private, hanno concluso che l'attacco è stato condotto da hacker russi. Tuttavia, al momento del più dettagliato reportage (New York Times, giugno 2026), la designazione specifica del gruppo — come un gruppo APT denominato (APT29/Cozy Bear, Sandworm o Star Blizzard) — non è stata formalmente divulgata nelle fonti aperte . Le autorità stavano ancora lavorando per determinare se gli aggressori operassero per conto del Cremlino o con il suo assenso implicito .

Come si è svolto l'attacco

La violazione è iniziata il 31 agosto 2025 e ha fatto leva su tecniche di ingegneria sociale, piuttosto che su sofisticati exploit tecnici .

• L'accesso iniziale è stato ottenuto attraverso una campagna di vishing (voice phishing) mirata al servizio di assistenza IT. Gli aggressori hanno chiamato il servizio di assistenza IT di JLR — prendendo di mira un dipendente del suo fornitore di servizi IT, Tata Consultancy Services — fingendosi dipendenti legittimi per richiedere il ripristino delle credenziali e la ri-registrazione dell'autenticazione a più fattori. Ciò ha permesso il furto di token e l'accesso con credenziali rubate.
• Una volta dentro, gli aggressori si sono spostati lateralmente dai sistemi IT ai sistemi ERP/MES (pianificazione delle risorse aziendali e sistemi di esecuzione della produzione), riuscendo infine a interrompere le linee di produzione in fabbrica.
• L'intrusione è stata rilevata il 31 agosto e JLR ha sospeso la produzione il 1° settembre. Ci sono volute quasi sei settimane per iniziare a riavviare la produzione, costando all'azienda una perdita stimata di 50 milioni di sterline a settimana in danni diretti .

Enti che hanno condotto l'indagine di attribuzione

L'indagine è stata condotta da forze dell'ordine e aziende di cybersecurity sia del Regno Unito che degli Stati Uniti . Il New York Times ha riportato le conclusioni basandosi su cinque fonti anonime a conoscenza dell'indagine . Il Cyber Monitoring Centre (CMC), un organismo indipendente del Regno Unito, ha classificato l'incidente come un evento sistemico di Categoria 3 e ha stimato l'impatto economico totale per il Regno Unito in 1,9 miliardi di sterline (circa 2,5 miliardi di dollari), colpendo oltre 5.000 aziende.

Contraddizione con le rivendicazioni iniziali di Scattered Lapsus$ Hunters

Subito dopo l'attacco, un gruppo che si faceva chiamare Scattered Lapsus$ Hunters ne ha rivendicato la responsabilità su Telegram. Il nome suggeriva una collaborazione tra Scattered Spider, Lapsus$ e ShinyHunters, tre gruppi di criminalità informatica di lingua inglese .

Ma gli investigatori hanno successivamente concluso che questa rivendicazione era falsa. L'attacco era diverso per metodologia e motivazione da un tipico ransomware criminale: non è mai stata fatta una richiesta di denaro e l'intento sembrava essere il sabotaggio piuttosto che l'estorsione . Gli aggressori hanno usato "Scattered Lapsus$ Hunters" come identità di copertura, e l'attribuzione iniziale a quel gruppo da parte di alcuni organi di stampa è risultata errata.

La risposta da 1,5 miliardi di sterline del governo britannico

Tra il 27 e il 29 settembre 2025, il Segretario per gli Affari e il Commercio Peter Kyle ha annunciato che il governo britannico avrebbe garantito un prestito di 1,5 miliardi di sterline (2 miliardi di dollari) da una banca commerciale a Jaguar Land Rover . L'intervento senza precedenti mirava a stabilizzare le finanze di JLR, proteggere posti di lavoro specializzati e mettere in sicurezza la sua filiera, che rischiava il collasso a causa dei ritardi nei pagamenti . La garanzia è stata descritta come una misura di emergenza per prevenire migliaia di licenziamenti lungo la catena di fornitura, con i critici che hanno successivamente avvertito che creava un "precedente sfortunato" per futuri incidenti informatici.

Scoperta insolita su un hacker giordano

Le prove disponibili dalle fonti non contengono alcuna notizia confermata su un hacker giordano che avrebbe simultaneamente violato le reti di JLR. Nessuno degli articoli citati fa riferimento a questo dettaglio. Questa informazione sembra non essere supportata dalle prove disponibili. Se hai una fonte per questa affermazione, posso verificarla ulteriormente.