Кибератаку на Los Angeles County Metropolitan Transportation Authority — LA Metro — связали с иранскими государственными хакерами. Об этом пишет SecurityWeek со ссылкой на данные израильской компании Gambit Security и Reuters. Инцидент произошёл в марте 2026 года: транспортное агентство обнаружило вторжение, после чего часть внутренних сетевых операций пришлось отключать для сдерживания атаки. Движение автобусов и поездов, по данным LA Metro и публикаций о расследовании, не остановилось.
Gambit Security утверждает, что за атакой стояла группа Ababil, которую исследователи и израильские официальные лица ранее связывали с Ираном. Компания заявила, что нашла не только публичные заявления хакеров, но и форензические признаки, поддерживающие версию об иранском следе.
По оценке Gambit, злоумышленники похитили как минимум 700 ГБ внутренних данных LA Metro. В этот массив могли входить e-mail, резервные копии и другие внутренние файлы. Исследователи сообщили, что нашли украденные данные после того, как они случайно оказались открыты в интернете. SecurityWeek и Reuters описывают атаку как disruptive breach — то есть инцидент, который нарушил внутреннюю работу, но не привёл к остановке общественного транспорта.
LA Metro — одна из крупнейших транспортных систем США. Она обслуживает округ Лос-Анджелес, где живут миллионы людей, и управляет автобусными, железнодорожными и связанными сервисами. Поэтому даже инцидент без остановки поездов и автобусов важен: транспортные агентства хранят служебную переписку, внутренние документы, договоры, сетевые схемы, данные подрядчиков, эксплуатационные инструкции и клиентские сервисы. Утечка такого массива может помочь в следующих атаках — фишинге, давлении на подрядчиков, поиске слабых мест и подготовке более точного доступа.
Первые публичные следы атаки появились не сразу через отчёт компании, а через заявление самой группы. 9 апреля 2026 года Ababil of Minab взяла на себя ответственность за кибератаку на LA Metro. Dataminr описывала Ababil как проиранского актора с ограниченным публичным профилем.
Security Magazine также отмечал, что по Ababil мало открытых данных, поэтому оценивать реальные возможности и намерения группы сложно. После публикации Gambit история стала серьёзнее: исследователи заявили, что их находки дают дополнительную техническую основу для связи Ababil с иранским государственным контуром. При этом независимая публичная проверка полного набора доказательств пока невозможна: исходные артефакты, логи и украденные файлы не опубликованы в полном виде.
Известные последствия для пользователей выглядели ограниченными. В публикациях указывается, что атака затронула внутренние операции, дисплеи и часть клиентской функциональности, но не остановила транспортные услуги. Это не делает инцидент «маленьким». Для критической инфраструктуры есть разные уровни ущерба: физическая остановка сервиса, сбой IT-систем, утечка внутренних данных, потеря доверия, затраты на восстановление и повышение риска повторной атаки. Здесь, судя по открытым данным, главная проблема — сетевое вторжение и кража большого объема файлов.
В апреле 2026 года американские агентства выпустили предупреждение об иранских киберакторах, которые атакуют уязвимые элементы критической инфраструктуры. Отдельный совместный бюллетень ФБР и партнёров описывал активность Iran-affiliated APT против интернет-доступных PLC — программируемых логических контроллеров — с целью вызвать сбои, менять проектные файлы и манипулировать тем, что показывают HMI/SCADA-интерфейсы.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
