16 июля 2026 года суд Woolwich Crown Court приговорил Оуэна Флауэрса (18 лет) и Талху Джубаира (20 лет) к пяти с половиной годам лишения свободы каждого за взлом систем Transport for London (TfL) в сентябре 2024 года. Атака вывела из строя 148 систем транспортного оператора, обслуживающего около 9 миллионов поездок в день, и привела к утечке персональных данных пассажиров. По данным Королевской прокурорской службы (CPS) и Национального агентства по борьбе с преступностью (NCA), ущерб и затраты на восстановление составили £29 миллионов. Это дело стало, по оценке CPS, первым успешным осуждением по статье 3ZA Закона о неправомерном использовании компьютеров 1990 года — наиболее тяжкому составу этого закона.
Хронология атаки и масштаб ущерба
Вторжение продолжалось с 31 августа по 3 сентября 2024 года. За четыре дня злоумышленники нарушили работу критически важных сервисов лондонского транспорта:
- Dial-a-Ride — служба перевозки маломобильных жителей Лондона — была выведена из строя;
- Цифровой канал оплаты проезда и выпуск льготных проездных карт прекратили работу;
- Приём заявок на фотокарты Oyster для детей и молодёжи был остановлен;
- Внедрение бесконтактной оплаты было отложено, обработка возвратов существенно замедлилась.
Как сообщил TfL пассажирам, злоумышленники получили доступ к именам, адресам электронной почты и, в ряде случаев, домашним адресам клиентов. Для примерно 5 000 человек, по оценке TfL, могли быть скомпрометированы данные о возвратах по картам Oyster, включая номера банковских счетов и коды сортировки.
Последствия для внутренней инфраструктуры оказались не менее серьёзными: все 27 000 сотрудников TfL были вынуждены лично явиться в офис для сброса паролей. NCA называет это дело крупнейшим уголовным преследованием за киберпреступление в истории британских судов, хотя методология такого сравнения не раскрывается.
Доказательная база и арест
Флауэрс был арестован дома 6 сентября 2024 года — через три дня после завершения вторжения в TfL. По данным NCA, в момент задержания он находился в процессе атаки на две американские медицинские организации — SSM Health Care Corporation и Sutter Health. При обыске были изъяты ноутбуки, настольные компьютеры, жёсткие диски и USB-накопители. На одном из ноутбуков обнаружился снимок экрана с подключением к инфраструктуре TfL, а также видеозаписи, на которых Флауэрс фиксировал действия Джубаира внутри систем транспортного оператора.
Пара координировала действия через Telegram и совместное онлайн-рабочее пространство. Прокуроры доказали, что Флауэрс был подключён к удалённому серверу, использованному для запуска всех трёх вторжений. Доказательства причастности Джубаира к атаке на TfL были получены за рубежом при содействии иностранных прокуроров.
Флауэрс признал два дополнительных обвинения: сговор с целью атаки на SSM Health и попытку атаки на Sutter Health. Согласно CPS, в переписке он угрожал заблокировать медицинские системы, признавая при этом, что это «может убить какого-нибудь 90-летнего на аппарате жизнеобеспечения». Именно арест остановил эту атаку.
Правовой прецедент: статья 3ZA
Оба подсудимых признали вину 22 июня 2026 года — в день, когда должен был начаться судебный процесс. Обвинение было предъявлено по статье 3ZA Закона о неправомерном использовании компьютеров — самому тяжкому составу этого закона. Подсудимые признали, что действовали с безрассудным отношением к тому, создают ли они значительный риск серьёзного ущерба благополучию людей.
Здесь стоит отметить расхождение в формулировках двух ведомств: CPS заявляет, что это первое успешное осуждение по данной статье, тогда как NCA называет дело лишь вторым преследованием такого рода. Оба утверждения могут быть верны одновременно — одно считает возбуждённые дела, другое завершившиеся приговором, — но ни одно из ведомств не объясняет разницу.
NCA оценивает гипотетический ущерб от полного отключения сети TfL в сумму до £56 миллиардов для экономики Великобритании. Эта цифра осталась гипотетической: TfL самостоятельно отключил собственную сеть, чтобы локализовать угрозу, что, по данным CPS, и предотвратило катастрофический сценарий. Методология расчёта £56 миллиардов не раскрыта.
Связь со Scattered Spider и незакрытое дело в США
NCA характеризует обоих осуждённых как ведущих участников группировки Scattered Spider (также отслеживаемой как Octo Tempest, UNC3944 и 0ktapus). CPS формулирует осторожнее: подсудимые в разное время заявляли о принадлежности к группе, которая, по мнению прокуроров, совершила сотни атак в период с 2022 по 2025 год. ФБР, процитированное в заявлении NCA, связывает группировку с вымогательством данных, подменой SIM-карт и социальной инженерией.
Для Джубаира дело далеко от завершения. Жалоба, рассекреченная в Нью-Джерси в сентябре 2025 года, обвиняет его в сговоре с целью компьютерного мошенничества, мошенничества с использованием средств связи и отмывания денег. По версии американских прокуроров, схема охватывала около 120 сетевых вторжений и не менее 47 жертв в США в период с мая 2022 по сентябрь 2025 года, а общая сумма выплаченных выкупов превысила $115 миллионов. Ему также вменяется участие во вторжениях в системы компании критической инфраструктуры США и судебной системы США, а также перемещение около $8,4 миллиона в криптовалюте с серверного кошелька в момент, когда агенты проводили его изъятие. Максимальное наказание по всем американским обвинениям — 95 лет. Ни в одном из опубликованных документов вопрос экстрадиции не затрагивается.
Уроки для защиты: социальная инженерия остаётся главным вектором
Ни NCA, ни CPS не раскрыли, каким именно способом Флауэрс и Джубаир получили первоначальный доступ к TfL. Однако контекст, предоставленный исследованием Mandiant об экспансии ShinyHunters, указывает на типичный арсенал подобных группировок: голосовой фишинг (вишинг) с звонками сотрудникам, поддельные страницы сбора учётных данных, стилизованные под бренд жертвы, перехват SSO-логинов и кодов многофакторной аутентификации, а затем регистрация собственного устройства атакующего для прохождения MFA.
Руководство Google по усилению защиты сводит ключевую рекомендацию к одному принципу: верификация личности при сбросе паролей, регистрации устройств и изменении настроек MFA — именно тех ручных процедур, через которые эти группировки проникают в системы методом социальной инженерии.
NCA также подчёркивает, что эти приговоры, вероятно, не состоялись бы, если бы TfL не обратился в правоохранительные органы на ранней стадии инцидента. Параллельно полиция Лондонского Сити использовала вынесение приговора для продвижения идеи «приказов о киберрисках» — судебных ограничений на использование устройств и онлайн-сервисов осуждёнными, которые командующий Олли Шоу назвал «цифровой тюрьмой». Такие полномочия у полиции пока отсутствуют.
Дело TfL демонстрирует две практические истины. Первая: организациям критической инфраструктуры необходимо внедрить строгую верификацию личности во все процедуры управления учётными данными — сброс паролей, регистрацию устройств, изменение MFA — поскольку именно эти «ручные» точки входа эксплуатируются группировками уровня Scattered Spider. Вторая: раннее обращение в правоохранительные органы при обнаружении вторжения не только помогает локализовать ущерб, но и, как показало это дело, создаёт доказательную базу для привлечения злоумышленников к ответственности — вплоть до задержания в момент совершения следующей атаки.