Wie hackte Jaguar Land Rover? De $2,5 miljard cyberaanval die de Britse auto-industrie lamlegde

Een telefoontje, geen geavanceerde computerkraak, legde een van de grootste Britse fabrikanten plat. De 2025 cyberaanval op Jaguar Land Rover begon met een vishing-campagne (voice phishing) op 31 augustus en escaleerde in een productiestop van vijf weken, die de Britse economie naar schatting £1,9 miljard ($2,5 miljard) kostte . Hoewel onderzoekers van Britse en Amerikaanse wetshandhavingsinstanties hebben geconcludeerd dat de aanval werd uitgevoerd door Russische hackers, is de specifieke operationele eenheid — zoals APT29/Cozy Bear, Sandworm of Star Blizzard — in de meest gedetailleerde berichtgeving van juni 2026 nog niet publiekelijk genoemd . De autoriteiten onderzoeken nog of de aanvallers in opdracht van het Kremlin handelden of met diens stilzwijgende goedkeuring .

De Aanval: Hoe een Vishing-campagne een Autofabrikant tot Stilstand Bracht

De inbraak maakte gebruik van social engineering in plaats van technisch hoogstandjes . De aanvallers lanceerden een gerichte vishing-campagne op de IT-helpdesk, waarbij ze naar verluidt een medewerker van de IT-dienstverlener Tata Consultancy Services targetten . Ze deden zich voor als legitieme werknemers en vroegen om het resetten van inloggegevens en het opnieuw registreren van multi-factor authenticatie (MFA). Zo konden ze tokens stelen en inloggen met gestolen inloggegevens .

Eenmaal binnen, verplaatsten de aanvallers zich van de IT-systemen naar de ERP/MES-systemen (enterprise resource planning en manufacturing execution), die uiteindelijk de productielijnen op de fabrieksvloer verstoorden . De inbraak werd op 31 augustus ontdekt, waarna JLR de productie op 1 september stillegde. Het duurde bijna zes weken voordat de productie weer kon worden opgestart, wat het bedrijf naar schatting £50 miljoen per week aan directe verliezen kostte .

De Valse Vlag: Hoe Scattered Lapsus$ Hunters de Boel Vertroebelde

Direct na de aanval claimde een groep die zichzelf Scattered Lapsus$ Hunters noemde de verantwoordelijkheid op Telegram . De naam suggereerde een samenwerking tussen Scattered Spider, Lapsus$ en ShinyHunters — drie Engelssprekende cybercriminele groepen .

Maar onderzoekers concludeerden later dat deze claim vals was. De aanval verschilde in methode en motivatie van typische criminele ransomware: er werd nooit losgeld geëist, en het doel leek sabotage te zijn in plaats van afpersing . De aanvallers gebruikten 'Scattered Lapsus$ Hunters' als dekmantel, en de eerste toeschrijving aan die groep door sommige nieuwsmedia was onjuist .

Het Onderzoek: Wie de Hack naar Rusland Herleidde

Het onderzoek werd geleid door wetshandhavingsinstanties en particuliere cybersecuritybedrijven uit zowel het Verenigd Koninkrijk als de Verenigde Staten . Het National Cyber Security Centre (NCSC), dat onder GCHQ valt, leidde de technische en forensische aspecten van het onderzoek, met steun van Britse en Amerikaanse inlichtingendiensten . The New York Times berichtte over de conclusies op basis van vijf anonieme bronnen die bekend waren met het onderzoek .

Het Cyber Monitoring Centre (CMC), een onafhankelijke Britse organisatie, categoriseerde het incident als een Categorie 3 systemische gebeurtenis op een vijfpuntsschaal en schatte de totale Britse economische impact op £1,9 miljard (ongeveer $2,5 miljard), met gevolgen voor meer dan 5.000 bedrijven .

De Ongekende Reactie van de Britse Overheid: £1,5 Miljard

Op 27–29 september 2025 kondigde minister van Economische Zaken Peter Kyle aan dat de Britse overheid een leninggarantie van £1,5 miljard ($2 miljard) van een commerciële bank voor Jaguar Land Rover zou steunen . Deze ongekende interventie was bedoeld om de financiën van JLR te stabiliseren, geschoolde banen te beschermen en de toeleveringsketen veilig te stellen, die op instorten stond door betalingsachterstanden . De garantie werd beschreven als een noodmaatregel om duizenden ontslagen in de toeleveringsketen te voorkomen .

Critici waarschuwden later dat het een 'ongelukkig precedent' schiep voor toekomstige cyberincidenten . Commentatoren merkten op dat de overheid een precaire boodschap uitdroeg over cyberdreigingen door een particulier bedrijf te steunen dat was getroffen door een cyberaanval .

Ongefundeerde Claim: De Jordaanse Hacker

In het beschikbare bronmateriaal is geen bevestigde berichtgeving gevonden over een Jordaanse hacker die tegelijkertijd de netwerken van JLR zou zijn binnengedrongen. Geen van de geciteerde artikelen verwijst naar dit detail en het lijkt ongefundeerd in het beschikbare bewijs. Als een lezer een bron voor deze claim heeft, wordt onafhankelijke verificatie aanbevolen.

Belangrijkste Lessen voor Cybersecurityprofessionals

De JLR-aanval onderstreept verschillende cruciale lessen:

• Social engineering blijft de primaire dreigingsvector. Er was geen geavanceerde zero-day exploit nodig — alleen een overtuigend telefoontje.
• IT/OT-segmentatie is cruciaal. De aanvallers verplaatsten zich van bedrijfs-IT-systemen naar productiebesturingssystemen, wat het risico aantoont van onvoldoende scheiding tussen informatietechnologie en operationele technologie .
• Valse vlaggen zijn een tactisch hulpmiddel. De aanvallers gebruikten opzettelijk de identiteit van een bekende criminele groep om hun staatsgebonden oorsprong te verdoezelen.
• Economische schade kan de directe bedrijfsverliezen overschrijden. De impact van £1,9 miljard op de bredere Britse economie overtrof de directe kosten van JLR ruimschoots en leidde tot een overheidsredding.

Volgens de meest gedetailleerde open-source berichtgeving is de specifieke Russische staatsgebonden hackgroep nog niet formeel geïdentificeerd op operationeel eenheidsniveau, en heeft geen enkele minister een schuldige genoemd . De toeschrijving is nog gaande, maar de richting van het onderzoek is duidelijk: wat begon met een telefoontje, eindigde als de duurste cyberaanval uit de Britse geschiedenis.