16 липня 2026 року суд Woolwich Crown Court засудив Оуена Флауерса (18 років) і Талху Джубаіра (20 років) до п’яти з половиною років позбавлення волі кожного за злам систем Transport for London (TfL) у вересні 2024 року. Атака вивела з ладу 148 систем транспортного оператора, який обслуговує близько 9 мільйонів поїздок на день, і призвела до витоку персональних даних пасажирів. За даними Королівської прокурорської служби (CPS) і Національного агентства по боротьбі зі злочинністю (NCA), збитки й витрати на відновлення склали £29 мільйонів. За оцінкою CPS, ця справа стала першим успішним засудженням за статтею 3ZA Закону про неправомірне використання комп’ютерів 1990 року — найтяжчою нормою цього закону.
Хронологія атаки та масштаб збитків
Вторгнення тривало з 31 серпня по 3 вересня 2024 року. За чотири дні зловмисники порушили роботу критично важливих сервісів лондонського транспорту:
- Dial-a-Ride — служба перевезення маломобільних мешканців Лондона — була виведена з ладу;
- цифровий канал оплати проїзду та випуск пільгових проїзних карт припинили роботу;
- прийом заявок на фотокартки Oyster для дітей і молоді було зупинено;
- впровадження безконтактної оплати відклали, обробка повернень коштів суттєво сповільнилася.
Як повідомив TfL пасажирам, зловмисники отримали доступ до імен, адрес електронної пошти та, в окремих випадках, домашніх адрес клієнтів. Для приблизно 5 000 осіб, за оцінкою TfL, могли бути скомпрометовані дані про повернення коштів за картками Oyster, включно з номерами банківських рахунків і кодами сортування.
Наслідки для внутрішньої інфраструктури виявилися не менш серйозними: усі 27 000 співробітників TfL були змушені особисто з’явитися в офіс для скидання паролів. NCA називає цю справу найбільшим у історії британських судів кримінальним переслідуванням за кіберзлочин, хоча методологію такого порівняння не розкрито.
Доказова база та арешт
Флауерса було заарештовано вдома 6 вересня 2024 року — через три дні після завершення вторгнення в TfL. За даними NCA, на момент затримання він здійснював атаку на дві американські медичні організації — SSM Health Care Corporation і Sutter Health. Під час обшуку було вилучено ноутбуки, настільні комп’ютери, жорсткі диски та USB-накопичувачі. На одному з ноутбуків виявився знімок екрана з підключенням до інфраструктури TfL, а також відеозаписи, на яких Флауерс фіксував дії Джубаіра всередині систем транспортного оператора.
Пара координувала дії через Telegram і спільний онлайн-робочий простір. Прокурори довели, що Флауерс був підключений до віддаленого сервера, використаного для запуску всіх трьох вторгнень. Докази причетності Джубаіра до атаки на TfL були отримані за кордоном за сприяння іноземних прокурорів.
Флауерс визнав ще два додаткові обвинувачення: змову з метою атаки на SSM Health і спробу атаки на Sutter Health. За даними CPS, у листуванні він погрожував заблокувати медичні системи, визнаючи при цьому, що це «може вбити якогось 90-річного на апараті життєзабезпечення». Саме арешт зупинив цю атаку.
Правовий прецедент: стаття 3ZA
Обидва підсудні визнали провину 22 червня 2026 року — у день, коли мав розпочатися судовий процес. Обвинувачення було висунуто за статтею 3ZA Закону про неправомірне використання комп’ютерів — найтяжчою нормою цього закону. Підсудні визнали, що діяли з безрозсудним ставленням до того, чи створюють вони значний ризик серйозної шкоди добробуту людей.
Тут варто зазначити розбіжність у формулюваннях двох відомств: CPS заявляє, що це перше успішне засудження за цією статтею, тоді як NCA називає справу лише другим переслідуванням такого роду. Обидва твердження можуть одночасно бути правильними — одне рахує порушені справи, інше завершені вироком, — але жодне з відомств не пояснює різницю.
NCA оцінює гіпотетичні збитки від повного відключення мережі TfL у суму до £56 мільярдів для економіки Великої Британії. Ця цифра залишилася гіпотетичною: TfL самостійно відключив власну мережу, щоб локалізувати загрозу, що, за даними CPS, і запобігло катастрофічному сценарію. Методологію розрахунку £56 мільярдів не розкрито.
Зв’язок зі Scattered Spider і незавершена справа у США
NCA характеризує обох засуджених як провідних учасників угруповання Scattered Spider (яке також відстежується під назвами Octo Tempest, UNC3944 і 0ktapus). CPS формулює обережніше: підсудні в різний час заявляли про приналежність до групи, яка, на думку прокурорів, здійснила сотні атак у період з 2022 по 2025 рік. ФБР, процитоване в заяві NCA, пов’язує угруповання з вимаганням даних, підміною SIM-карт і соціальною інженерією.
Для Джубаіра справа далека від завершення. Скарга, розсекречена в Нью-Джерсі у вересні 2025 року, звинувачує його в змові з метою комп’ютерного шахрайства, шахрайства з використанням засобів зв’язку та відмивання грошей. За версією американських прокурорів, схема охоплювала близько 120 мережевих вторгнень і щонайменше 47 жертв у США в період з травня 2022 по вересень 2025 року, а загальна сума сплачених викупів перевищила $115 мільйонів. Йому також інкримінують участь у вторгненнях до систем компанії критичної інфраструктури США та судової системи США, а також переміщення близько $8,4 мільйона в криптовалюті з серверного гаманця в момент, коли агенти здійснювали його вилучення. Максимальне покарання за всіма американськими обвинуваченнями — 95 років. У жодному з опублікованих документів питання екстрадиції не порушується.
Уроки для захисту: соціальна інженерія лишається основним вектором
Ані NCA, ані CPS не розкрили, яким саме способом Флауерс і Джубаір отримали початковий доступ до TfL. Втім, контекст, наданий дослідженням Mandiant про експансію ShinyHunters, вказує на типовий арсенал подібних угруповань: voice phishing (vishing) із дзвінками співробітникам, фальшиві сторінки збору облікових даних, стилізовані під бренд жертви, перехоплення SSO-логінів і кодів багатофакторної автентифікації, а потім реєстрація власного пристрою зловмисника для проходження MFA.
Посібник Google з посилення захисту зводить ключову рекомендацію до одного принципу: верифікація особи під час скидання паролів, реєстрації пристроїв і зміни налаштувань MFA — саме тих ручних процедур, через які ці угруповання проникають у системи методом соціальної інженерії.
NCA також наголошує, що ці вироки, ймовірно, не були б можливими, якби TfL не звернувся до правоохоронних органів на ранній стадії інциденту. Паралельно поліція Лондонського Сіті використала винесення вироку для просування ідеї «наказів про кіберризики» — судових обмежень на використання пристроїв та онлайн-сервісів засудженими, які командувач Оллі Шоу назвав «цифровою в’язницею». Таких повноважень поліція поки не має.
Справа TfL демонструє дві практичні істини. Перша: організаціям критичної інфраструктури необхідно впровадити сувору верифікацію особи в усі процедури керування обліковими даними — скидання паролів, реєстрацію пристроїв, зміну MFA, — оскільки саме ці «ручні» точки входу експлуатуються угрупованнями рівня Scattered Spider. Друга: раннє звернення до правоохоронних органів у разі виявлення вторгнення не лише допомагає локалізувати збитки, а й, як показала ця справа, створює доказову базу для притягнення зловмисників до відповідальності — аж до затримання в момент здійснення наступної атаки.