Rosyjscy hakerzy za atakiem na Jaguar Land Rover – najdroższym cyberatakiem w historii Wielkiej Brytanii

Rosyjscy hakerzy za atakiem na Jaguar Land Rover – najdroższym cyberatakiem w historii Wielkiej Brytanii

Konkretna rosyjska grupa hakerska odpowiedzialna za atak nie została jeszcze publicznie nazwana na poziomie jednostki operacyjnej. Śledczy z brytyjskich i amerykańskich organów ścigania oraz prywatnych firm zajmujących się cyberbezpieczeństwem ustalili, że atak został przeprowadzony przez rosyjskich hakerów, ale jak wynika z najdokładniejszych doniesień (The New York Times, czerwiec 2026), konkretne oznaczenie grupy – takie jak nazwana grupa APT, np. APT29/Cozy Bear, Sandworm czy Star Blizzard – nie zostało formalnie ujawnione w otwartych źródłach . Władze wciąż ustalały, czy atakujący działali na polecenie Kremla, czy za jego milczącą zgodą .

Jak doszło do ataku

Naruszenie bezpieczeństwa rozpoczęło się 31 sierpnia 2025 roku i opierało się na socjotechnice, a nie na wyrafinowanych technicznych exploitach .

• Początkowy dostęp uzyskano dzięki kampanii vishingowej (voice phishing) wymierzonej w helpdesk IT. Atakujący dzwonili do działu IT JLR – rzekomo celując w pracownika jego dostawcy usług IT, Tata Consultancy Services – podając się za legalnych pracowników i prosząc o zresetowanie haseł i ponowną rejestrację uwierzytelniania wieloskładnikowego (MFA). Umożliwiło to kradzież tokenów i logowanie się przy użyciu skradzionych danych uwierzytelniających.
• Po uzyskaniu dostępu atakujący przemieścili się z systemów IT do systemów ERP/MES (planowanie zasobów przedsiębiorstwa i systemy zarządzania produkcją), ostatecznie zakłócając linie produkcyjne na hali produkcyjnej.
• Naruszenie zostało wykryte 31 sierpnia, a JLR wstrzymał produkcję 1 września. Ponowne uruchomienie produkcji zajęło prawie sześć tygodni, kosztując firmę szacunkowo 50 milionów funtów tygodniowo bezpośrednich strat .

Podmioty prowadzące śledztwo w sprawie atrybucji

Śledztwo było prowadzone przez organy ścigania i prywatne firmy zajmujące się cyberbezpieczeństwem zarówno z Wielkiej Brytanii, jak i Stanów Zjednoczonych . The New York Times oparł swoje wnioski na pięciu anonimowych źródłach zaznajomionych z dochodzeniem . Niezależny brytyjski organ Cyber Monitoring Centre (CMC) sklasyfikował incydent jako zdarzenie systemowe kategorii 3 i oszacował całkowity wpływ na brytyjską gospodarkę na 1,9 miliarda funtów (około 2,5 miliarda dolarów), dotykając ponad 5000 firm.

Sprzeczność z wcześniejszymi twierdzeniami Scattered Lapsus$ Hunters

Natychmiast po ataku grupa nazywająca siebie Scattered Lapsus$ Hunters przyznała się do odpowiedzialności na Telegramie. Nazwa sugerowała współpracę między Scattered Spider, Lapsus$ i ShinyHunters – trzema anglojęzycznymi grupami cyberprzestępczymi .

Jednak śledczy później uznali to roszczenie za fałszywe. Atak różnił się metodologią i motywacją od typowego ransomware: nigdy nie było żądania pieniędzy, a zamiarem wydawał się sabotaż, a nie wymuszenie . Atakujący użyli „Scattered Lapsus$ Hunters” jako przykrywki, a wstępne przypisanie ataku tej grupie przez niektóre media było nieprawidłowe.

Reakcja rządu Wielkiej Brytanii o wartości 1,5 miliarda funtów

27–29 września 2025 roku minister biznesu Peter Kyle ogłosił, że rząd Wielkiej Brytanii udzieli gwarancji kredytowej w wysokości 1,5 miliarda funtów (2 miliardy dolarów) z banku komercyjnego dla Jaguar Land Rover . Ta bezprecedensowa interwencja miała na celu ustabilizowanie finansów JLR, ochronę wykwalifikowanych miejsc pracy i zabezpieczenie jego łańcucha dostaw, który stanął w obliczu załamania z powodu opóźnionych płatności . Gwarancja została opisana jako środek nadzwyczajny mający zapobiec tysiącom zwolnień w całym łańcuchu dostaw, a krytycy później ostrzegali, że stanowi ona „niefortunny precedens” dla przyszłych incydentów cybernetycznych.