Mastodon Mastodon Mastodon Mastodon

Два хакера получили по 5,5 лет за атаку на Transport for London — первый приговор по статье 3ZA в Великобритании

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

16 июля 2026 года суд Woolwich Crown Court приговорил Оуэна Флауэрса (18 лет) и Талху Джубаира (20 лет) к пяти с половиной годам лишения свободы каждого за взлом систем Transport for London (TfL) в сентябре 2024 года. Атака вывела из строя 148 систем транспортного оператора, обслуживающего около 9 миллионов поездок в день, и привела к утечке персональных данных пассажиров. По данным Королевской прокурорской службы (CPS) и Национального агентства по борьбе с преступностью (NCA), ущерб и затраты на восстановление составили £29 миллионов. Это дело стало, по оценке CPS, первым успешным осуждением по статье 3ZA Закона о неправомерном использовании компьютеров 1990 года — наиболее тяжкому составу этого закона.

Хронология атаки и масштаб ущерба

Вторжение продолжалось с 31 августа по 3 сентября 2024 года. За четыре дня злоумышленники нарушили работу критически важных сервисов лондонского транспорта:

  • Dial-a-Ride — служба перевозки маломобильных жителей Лондона — была выведена из строя;
  • Цифровой канал оплаты проезда и выпуск льготных проездных карт прекратили работу;
  • Приём заявок на фотокарты Oyster для детей и молодёжи был остановлен;
  • Внедрение бесконтактной оплаты было отложено, обработка возвратов существенно замедлилась.

Как сообщил TfL пассажирам, злоумышленники получили доступ к именам, адресам электронной почты и, в ряде случаев, домашним адресам клиентов. Для примерно 5 000 человек, по оценке TfL, могли быть скомпрометированы данные о возвратах по картам Oyster, включая номера банковских счетов и коды сортировки.

Последствия для внутренней инфраструктуры оказались не менее серьёзными: все 27 000 сотрудников TfL были вынуждены лично явиться в офис для сброса паролей. NCA называет это дело крупнейшим уголовным преследованием за киберпреступление в истории британских судов, хотя методология такого сравнения не раскрывается.

Доказательная база и арест

Флауэрс был арестован дома 6 сентября 2024 года — через три дня после завершения вторжения в TfL. По данным NCA, в момент задержания он находился в процессе атаки на две американские медицинские организации — SSM Health Care Corporation и Sutter Health. При обыске были изъяты ноутбуки, настольные компьютеры, жёсткие диски и USB-накопители. На одном из ноутбуков обнаружился снимок экрана с подключением к инфраструктуре TfL, а также видеозаписи, на которых Флауэрс фиксировал действия Джубаира внутри систем транспортного оператора.

Пара координировала действия через Telegram и совместное онлайн-рабочее пространство. Прокуроры доказали, что Флауэрс был подключён к удалённому серверу, использованному для запуска всех трёх вторжений. Доказательства причастности Джубаира к атаке на TfL были получены за рубежом при содействии иностранных прокуроров.

Флауэрс признал два дополнительных обвинения: сговор с целью атаки на SSM Health и попытку атаки на Sutter Health. Согласно CPS, в переписке он угрожал заблокировать медицинские системы, признавая при этом, что это «может убить какого-нибудь 90-летнего на аппарате жизнеобеспечения». Именно арест остановил эту атаку.

Правовой прецедент: статья 3ZA

Оба подсудимых признали вину 22 июня 2026 года — в день, когда должен был начаться судебный процесс. Обвинение было предъявлено по статье 3ZA Закона о неправомерном использовании компьютеров — самому тяжкому составу этого закона. Подсудимые признали, что действовали с безрассудным отношением к тому, создают ли они значительный риск серьёзного ущерба благополучию людей.

Здесь стоит отметить расхождение в формулировках двух ведомств: CPS заявляет, что это первое успешное осуждение по данной статье, тогда как NCA называет дело лишь вторым преследованием такого рода. Оба утверждения могут быть верны одновременно — одно считает возбуждённые дела, другое завершившиеся приговором, — но ни одно из ведомств не объясняет разницу.

NCA оценивает гипотетический ущерб от полного отключения сети TfL в сумму до £56 миллиардов для экономики Великобритании. Эта цифра осталась гипотетической: TfL самостоятельно отключил собственную сеть, чтобы локализовать угрозу, что, по данным CPS, и предотвратило катастрофический сценарий. Методология расчёта £56 миллиардов не раскрыта.

Связь со Scattered Spider и незакрытое дело в США

NCA характеризует обоих осуждённых как ведущих участников группировки Scattered Spider (также отслеживаемой как Octo Tempest, UNC3944 и 0ktapus). CPS формулирует осторожнее: подсудимые в разное время заявляли о принадлежности к группе, которая, по мнению прокуроров, совершила сотни атак в период с 2022 по 2025 год. ФБР, процитированное в заявлении NCA, связывает группировку с вымогательством данных, подменой SIM-карт и социальной инженерией.

Для Джубаира дело далеко от завершения. Жалоба, рассекреченная в Нью-Джерси в сентябре 2025 года, обвиняет его в сговоре с целью компьютерного мошенничества, мошенничества с использованием средств связи и отмывания денег. По версии американских прокуроров, схема охватывала около 120 сетевых вторжений и не менее 47 жертв в США в период с мая 2022 по сентябрь 2025 года, а общая сумма выплаченных выкупов превысила $115 миллионов. Ему также вменяется участие во вторжениях в системы компании критической инфраструктуры США и судебной системы США, а также перемещение около $8,4 миллиона в криптовалюте с серверного кошелька в момент, когда агенты проводили его изъятие. Максимальное наказание по всем американским обвинениям — 95 лет. Ни в одном из опубликованных документов вопрос экстрадиции не затрагивается.

Уроки для защиты: социальная инженерия остаётся главным вектором

Ни NCA, ни CPS не раскрыли, каким именно способом Флауэрс и Джубаир получили первоначальный доступ к TfL. Однако контекст, предоставленный исследованием Mandiant об экспансии ShinyHunters, указывает на типичный арсенал подобных группировок: голосовой фишинг (вишинг) с звонками сотрудникам, поддельные страницы сбора учётных данных, стилизованные под бренд жертвы, перехват SSO-логинов и кодов многофакторной аутентификации, а затем регистрация собственного устройства атакующего для прохождения MFA.

Руководство Google по усилению защиты сводит ключевую рекомендацию к одному принципу: верификация личности при сбросе паролей, регистрации устройств и изменении настроек MFA — именно тех ручных процедур, через которые эти группировки проникают в системы методом социальной инженерии.

NCA также подчёркивает, что эти приговоры, вероятно, не состоялись бы, если бы TfL не обратился в правоохранительные органы на ранней стадии инцидента. Параллельно полиция Лондонского Сити использовала вынесение приговора для продвижения идеи «приказов о киберрисках» — судебных ограничений на использование устройств и онлайн-сервисов осуждёнными, которые командующий Олли Шоу назвал «цифровой тюрьмой». Такие полномочия у полиции пока отсутствуют.

Дело TfL демонстрирует две практические истины. Первая: организациям критической инфраструктуры необходимо внедрить строгую верификацию личности во все процедуры управления учётными данными — сброс паролей, регистрацию устройств, изменение MFA — поскольку именно эти «ручные» точки входа эксплуатируются группировками уровня Scattered Spider. Вторая: раннее обращение в правоохранительные органы при обнаружении вторжения не только помогает локализовать ущерб, но и, как показало это дело, создаёт доказательную базу для привлечения злоумышленников к ответственности — вплоть до задержания в момент совершения следующей атаки.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.