A támadás szeptemberben bénította meg a Jaguar Land Rover rendszereit. A gyártás jelentős része öt héten át állt, és csak lassan szerveződik helyre. A kárt 1,6–2,1 milliárd fontra teszik, de az összeg még növekedhet. Britanniában ez volt az eddig legnagyobb digitális kártevés, nemzetközi hatásokkal.
A csapás a működési technológiát súlyosan érintette, és a termelés teljes visszaállítása még késik. Az ütéstől megszédült óriáscég az eseményt rendszerszintű hatásúnak nevezi, aminek következményei az ellátási láncokban, a logisztikában és külföldi gazdaságokban is jelentkeztek. Mindez együtt körülbelül 200,000 dolgozóra volt kihatással világszerte.
De mi is történt?
A Jaguar Land Rovert ért kibertámadás során a hackerek olyan belső rendszereket céloztak meg, amelyek nélkül a gyártás, a rendeléskezelés és a logisztika egyszerűen leállt. A vállalat informatikai és termelésirányító hálózata között több kapcsolat megszakadt, így a robotizált üzemek nem tudtak biztonságosan működni. Emiatt szeptember elején a cég kénytelen volt leállítani az egész termelést, és csaknem öt hétbe telt, mire fokozatosan újraindították a gyártósorokat.
A támadás komoly kárt okozott a beszállítói láncban részt vevő kisebb vállalatoknak is, akik közül sokan készpénz- és likviditási problémákról, sőt csődkockázatról számoltak be. Mindez legnagyobb megrendelőjük válságának a következménye. A brit kormány ígéretet tett 1,5 milliárd font értékű hitelgaranciára, hogy segítsék a beszállítók túlélését és a gazdaság stabilitását.
Dr.Prof. Ciaran Martin, a vállalat műszaki bizottságának elnöke szerint az egymással összefonódott ellátási láncok és a pontos időben történő (just-in-time) gyártási folyamatok olyan gazdasági szorongatást hoznak létre, amelyben a központi gyártó elleni rombolás ezer más céget is képes megbénítani, több milliárd fontos veszteséget okozva globálisan is.
A Jaguar Land Rover a 2024/25-ös pénzügyi évben £29 milliárd árbevételt és £2 milliárd nyereséget ért el. A vállalat piaci értéke £9–15 milliárd közé tehető, amivel a brit ipar egyik stratégiai cégének számít.
Ezért a Jaguár-esemény sokkhatással járt, mivel negatív rekordot döntött a brit piac történetében, és világméretekben is csak néhány kivételes eset múlja felül. A legnagyobb károkat elszenvedő vállalatok, így a Maersk, a Colonial Pipeline, a GBS Foods, vagy a Solar Winds elleni események mögött kivétel nélkül orosz hackercsoportokat, vagy a GRU-t (az orosz katonai hírszerzést) fedezték fel, vagy gyanúsították.
Létezhet orosz szál a Jaguár esetében is – de mi támasztja alá a gyanút?
A Telegraph értesülései szerint a támadás mérete és célpontja miatt felmerült, hogy a hackerek a Kreml érdekeihez köthetők. A kormány és a hírszerző szervek vizsgálata folyamatban van, a támadók kiléte és motivációja hivatalosan még nem ismert.
Az akció politikai válaszüzenetként is felfogható, ami az Egyesült Királyság ukrajnai szerepvállalására és különösen a Storm Shadow cirkálórakéták átadására reagált. A támadás a brit autóipar egyik pillére ellen röviddel azután történt, hogy London újabb szankciókat hirdetett meg orosz energiacégekkel szemben.
A vállalat kimutatta, hogy a Jaguárt ért támadás nem opportunista ransomware (zsaroló), hanem precízen időzített, hálózati bénító akció volt. Ha a támadók már rendelkeztek érvényes belső hozzáféréssel (például korábbi adatlopásból szerzett hitelesítőkkel), akkor a műveletet néhány hét alatt össze lehetett állítani és végre lehetett hajtani.
A Cyfirma kiberbiztonsági csoport jelentése már beszámolt korábbi adatlopásokról és a dark-weben megjelent hitelesítőkről, amelyek lehetővé tették a belső hálózati feltérképezést. Ez vezethetett a későbbi, időzített támadáshoz.
Az „egy célpont → széles hatás” mintázat jellemző azokra az orosz eredetű támadásokra, amelyek nem önmaguktól terjednek, hanem a gazdasági függőségeken keresztül okoznak zavart. Ilyen volt korábban a NotPetya is 2017-ben, melyet az Egyesült Királyság és az USA egyaránt az orosz katonai hírszerzéshez kötött. A kártevő akkor el egy könyvelőprogram frissítésén keresztül indult el a GRU égisze alatt, kifejezett bénítási céllal.
Az Egyesült Királyság hírszerzése (NCSC és GCHQ) már korábban jelezte, hogy a Putyin elnök alá rendelt kiber-hadtestek, így a Sandworm, APT28/Fancy Bear, APT29/Cozy Bear fokozzák aktivitásukat brit célpontok ellen, különösen a védelmi és ipari szektorban. A Jaguar Land Rover egy valódi stratégiai szereplő, autóipari zászlóshajó, nagy exportértékkel), így klasszikus ütéspont a Kreml szempontjából.
A Telegraph és BBC (amely szintén elszenvedett már orosz kibertámadást) egybehangzóan írják, hogy a brit kormányzat orosz hátteret gyanít, amit a támadás mérete és a kiváltott gazdasági sokkhatás alapján vetnek fel. A BBC október 15-i jelentése szerint brit központi hírszerzés „külföldi állami szereplő” lehetőségét vizsgálja, és Oroszországot nevezte meg elsődleges irányként, mivel az időzítés és a módszer „összhangban áll a korábbi GRU-mintázattal”.
A vizsgálat tovább folyik
A kormányzati bűnüldöző szervek, valamint a vállalat munkatársai együtt kutatják a támadás technikai eredetét, a behatolás módját és azt, hogy milyen további károk vagy következmények merülhetnek fel. A biztonsági közösség azt hangsúlyozza, hogy a szervezeteknek fel kell mérniük, mely hálózatok számítanak létfontosságúnak, és hogyan növelhetik ellenálló-képességüket a jövőbeni, hasonló eseményekkel szemben.
Mindezekhez még annyit, hogy a magas presztizsű márka gyártása 1948 nyarán kezdődött a West Midlands-i üzemben. Azóta több mint kétmillió Land Rover és Defender gördült le a Lode Lane-i gyártósorról az évtizedes gyártási időszak alatt.