Двух участников киберпреступного сообщества Scattered Spider приговорили в Великобритании к пяти годам и шести месяцам лишения свободы. Талха Джубайр и Оуэн Флауэрс признали участие в атаке на Transport for London — оператора метро, автобусов и других транспортных систем британской столицы.
Взлом продолжался с 31 августа по 3 сентября 2024 года. Атакующим удалось получить максимальные права в корпоративной сети TfL, вывести из строя более 140 информационных систем и заставить транспортную организацию фактически отключить часть собственной инфраструктуры. Сами поезда и автобусы продолжили работу, но пассажирские и внутренние сервисы восстанавливались несколько месяцев.
Приговор вынес Королевский суд Вулиджа 16 июля 2026 года. Джубайр и Флауэрс получили по пять лет и шесть месяцев заключения. Они изменили позицию и признали вину 22 июня — в день, когда должен был начаться полноценный судебный процесс.
Обвинение строилось на статье 3ZA британского Закона о неправомерном использовании компьютеров. Эта норма применяется к несанкционированным действиям, которые причинили серьёзный ущерб либо создали существенный риск такого ущерба для людей, экономики, окружающей среды или национальной безопасности.
Максимальное наказание по статье может достигать 14 лет заключения. В случае угрозы национальной безопасности закон допускает пожизненный срок. В деле TfL прокуратура доказывала, что обвиняемые действовали как минимум безразлично к возможным последствиям для пассажиров и транспортной инфраструктуры.
Дело стало одним из первых примеров практического применения статьи 3ZA к хакерам. Королевская прокурорская служба назвала Джубайра и Флауэрса первыми злоумышленниками, которых удалось успешно привлечь по этой норме за компьютерную атаку.
Начальная точка атаки оказалась хорошо знакомой специалистам по защите: злоумышленники атаковали службу технической поддержки.
Сообщник хакеров позвонил в справочную службу TfL, представился сотрудником организации и сообщил о проблемах с удалённым входом. Для убедительности он использовал ранее украденные учётные данные. Оператор сбросил механизм многофакторной проверки и привязал его к устройству, которое контролировали атакующие.
Получив рабочую учётную запись, участники Scattered Spider начали повышать привилегии. В итоге они создали доменную административную запись — аккаунт с максимальными правами в корпоративной среде Windows. В суде такой уровень доступа сравнили с получением «ключей от королевства».
ФБР и Агентство по кибербезопасности и защите инфраструктуры США связывают со Scattered Spider звонки от имени технической поддержки, поддельные страницы единого входа, перехват одноразовых кодов, шквал запросов многофакторной проверки и подмену SIM-карт. Последний приём позволяет перенести номер жертвы на подконтрольную злоумышленникам карту и перехватывать коды подтверждения.
Атакующие находились внутри сети TfL четыре дня. Они переписывались через Telegram и использовали сервис совместной удалённой работы. Флауэрс записывал происходящее на видео, включая сеансы, во время которых Джубайр работал с системами транспортного оператора.
Следователи обнаружили эти записи на изъятом ноутбуке вместе со снимками экрана, подтверждающими соединение с инфраструктурой TfL. Устройства также содержали следы подключения к удалённому серверу, задействованному в атаке. Цифровые доказательства позволили связать между собой компьютеры обвиняемых, серверы, переписку и конкретные действия внутри сети.
Из сообщений следовало, что хакеры обсуждали возможность полностью закрыть доступ к информационным системам TfL. Прокуратура использовала формулировку «nuke access» — уничтожить или заблокировать доступ.
Полноценного отключения лондонского транспорта не произошло. TfL успела обнаружить подозрительную активность 1 сентября и ограничить доступ к собственной сети. Критические системы, непосредственно отвечающие за безопасность движения, сохранили работоспособность.
Защитные меры остановили дальнейшее продвижение атакующих, но одновременно нарушили работу значительной части цифровой инфраструктуры транспортного оператора.
Всего недоступными стали 148 систем. Всем 27 тысячам сотрудников TfL пришлось лично прибыть в офисы для сброса паролей. Этот шаг потребовался, поскольку организация больше не могла доверять прежним учётным записям и механизмам удалённого восстановления доступа.
Среди пострадавших сервисов оказались:
-
система заказа поездок Dial-a-Ride для пассажиров с ограниченной мобильностью;
-
оформление льготных транспортных карт;
-
возврат средств по картам Oyster;
-
цифровые платёжные каналы;
-
приложения и сайты с информацией о прибытии поездов;
-
проект расширения бесконтактной оплаты проезда.
Приём заявок на некоторые виды льготных карт Oyster возобновился лишь в ноябре 2024 года. Часть внутренних процедур продолжала работать в ручном режиме и позднее.
Национальное агентство по борьбе с преступностью Великобритании оценивает прямые потери TfL и расходы на восстановление в £29 млн.
В судебных материалах и репортаже The Guardian фигурирует оценка в £39 млн. Она включает £29 млн затрат и ущерба информационным системам, а также около £10 млн недополученного дохода.
Следствие рассматривало и худший сценарий. Полная остановка транспортной сети могла обойтись британской экономике в сумму до £56 млрд. Это оценка потенциального ущерба.
Хакеры получили доступ к системе возвратов Oyster и другим массивам клиентской информации. Суду сообщили о компрометации сведений, связанных с миллионами пассажиров.
TfL позднее уточнила, что среди затронутой информации находились имена и контактные данные части клиентов. Организация уведомила британского регулятора по защите информации и связалась с пострадавшими в сентябре 2024 года.
У транспортного оператора нет подтверждений, что украденные сведения использовались для мошенничества. В феврале 2025 года регулятор завершил проверку, не применив к TfL санкций.
Через несколько дней после проникновения в TfL Флауэрс участвовал в атаках на американские медицинские организации SSM Health и Sutter Health.
Следователи задержали его 6 сентября 2024 года, когда атака ещё продолжалась. В переписке Флауэрс признавал, что блокировка медицинских систем может поставить под угрозу пациентов, но продолжал обсуждать отключение инфраструктуры.
Флауэрс отдельно признал вину по двум эпизодам, связанным с намерением нарушить работу компьютерных систем американских медицинских организаций. Британская прокуратура считает, что задержание помешало довести атаку до наиболее опасной стадии.
Scattered Spider — не классическая хакерская группа с фиксированным руководством и постоянным набором участников. Под этим названием исследователи объединяют англоязычных злоумышленников, которые знакомятся на форумах и в мессенджерах, временно собираются для конкретных атак и затем меняют состав.
Другие исследовательские названия этого сообщества — Octo Tempest, UNC3944, 0ktapus и Muddled Libra.
Национальное агентство по борьбе с преступностью считает Джубайра и Флауэрса одними из ведущих участников Scattered Spider. Ведомство заявило, что их задержание серьёзно нарушило работу сообщества.
Оценка Microsoft, приведённая британскими следователями, также указывает на заметное снижение способности группировки проводить новые операции после арестов. Название Scattered Spider при этом остаётся общедоступным брендом, поэтому его могут использовать другие преступники, не связанные напрямую с осуждёнными.
Расследования против предполагаемых участников продолжаются в других странах. В июле 2026 года из Финляндии в США экстрадировали Питера Стоукса, которого американские правоохранительные органы также относят к Scattered Spider. Его вина пока не установлена судом.
Американская прокуратура предъявила Джубайру отдельные обвинения в компьютерном мошенничестве, вымогательстве и отмывании денег.
Следствие США приписывает ему и его сообщникам около 120 проникновений в корпоративные сети с мая 2022 года по сентябрь 2025 года. Среди предполагаемых целей находились не менее 47 американских организаций, объекты критической инфраструктуры и компьютерные системы федеральных судов.
Потерпевшие, как утверждает Министерство юстиции США, перечислили злоумышленникам более $115 млн. В 2024 году правоохранительные органы получили контроль над криптовалютой стоимостью около $36 млн на сервере, связанном с Джубайром. Ещё примерно $8,4 млн были переведены на другой кошелёк во время изъятия инфраструктуры.
Эти сведения относятся к отдельному американскому уголовному делу. Обвинения остаются утверждениями следствия и должны быть доказаны в суде.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.