Automobilka Jaguar Land Rover (JLR) zažila začiatkom septembra 2025 jeden z najvážnejších kybernetických incidentov v histórii. Druhého septembra hackeri prenikli do interných systémov spoločnosti a prakticky zastavili jej chod. Problémy sa týkali všetkého od globálnych IT sietí až po výrobné linky a predajné prevádzky. Chaos zasiahol aj dealerov, ktorí nedokázali registrovať nové autá práve počas britského „New Plate Day“, tradične jedného z najdôležitejších dátumov v kalendári automobilového trhu. Výsledkom boli okamžité finančné straty a tisíce zamestnancov poslaných domov.
Jaguar Land Rover 16. septembra oznámil, že vyšetrovanie útoku pokračuje a že pozastavenie výroby bude predĺžené až do konca septembra. Podrobnosti o rozsahu ani povahe prieniku firma zatiaľ nezverejnila, no podľa kyberbezpečnostnej spoločnosti CYFIRMA incident zapadá do širšieho trendu sofistikovaných útokov na automobilový sektor. Už predtým bol JLR terčom skupiny HELLCAT, ktorá v marci 2025 získala a zverejnila stovky interných dokumentov a zdrojový kód.
Treba však jedným dychom dodať, že podľa dostupných informácií už JLR aspoň čiastočne obnovuje prevádzku.
Útok cez ukradnuté prihlasovacie údaje
Ransomvérová skupina HELLCAT je známa tým, že využíva tzv. infostealer malvér na kradnutie prístupových údajov. Práve cez ukradnuté prihlasovacie údaje do firemného nástroja Jira sa im podarilo preniknúť do systémov JLR a stiahnuť približne 700 interných dokumentov. Údaje obsahovali vývojové logy, kódové súbory aj databázu zamestnancov so všetkými identifikačnými údajmi.
Len pár dní po tomto úniku sa na dark webe objavil ďalší aktér pod prezývkou APTS, ktorý tvrdil, že disponuje ešte väčším objemom dát (až 350 GB) získaných z kompromitovaných účtov tretích strán už od roku 2021. V septembri sa navyše ozvala skupina vystupujúca na Telegrame pod menom Scattered Spider Lapsus$ Hunters, ktorá zverejnila screenshoty z interného prostredia JLR vrátane domény jlrint.com.
Podľa CYFIRMA ide o jasný dôkaz, že hackeri mali prístup k hlbším vrstvám systémov. Medzi zverejnenými materiálmi boli aj debug logy z infotainment systému PIVI, ktoré odhaľovali konkrétne premenné ako ChargingModeChcToLatch či ChrgModReqTemp. Hackeri zároveň zverejnili aj uniknutý JSON kód backendu, ktorý prepojoval používateľské účty so samotnými vozidlami. Inak povedané, nejde len o únik know-how, ale aj zvýšené riziko zneužitia dát zákazníkov.
CYFIRMA upozorňuje, že v pozadí celého incidentu môže stáť širší kolektív známy ako ShinyHunters, ktorý sa už predtým zameriaval na britské firmy vrátane Vodafone UK a mal aj politické motívy. Samotná atribúcia je označená ako „medium confidence“, keďže útočníci cielene používajú zavádzajúce mená skupín a šíria informácie cez falošné Telegram účty.
Viac než len finančný útok
Podľa analýzy CYFIRMA sa nezdá, že by útočníci sledovali iba finančný zisk. Verejné zverejnenie interných kódov a logov má podľa odborníkov viacero cieľov a to od psychologického tlaku na JLR, cez budovanie reputácie v hackerskej komunite, až po vysielanie signálu, že dokážu zasiahnuť kritické systémy vrátane výroby či infraštruktúry.
Skupina sa dokonca vyhrážala útokmi na britské telekomunikačné firmy a zverejňovaním súkromných komunikácií politikov, čo poukazuje na kombináciu finančných, reputačných aj politických motívov.
Čo to znamená pre automobilový sektor
Incident má viacrozmerné následky. Zastavenie výroby a distribúcie je okamžitým úderom pre biznis, no dlhodobejšie hrozby predstavuje strata dôvernosti dát a uniknuté know-how. V hre je aj poškodenie dôvery zákazníkov, keďže uniknuté autentifikačné mechanizmy či prístupové tokeny môžu byť neskôr zneužité.
Navyše, útok na JLR je jasným signálom pre celý automobilový sektor, že práve tento priemysel sa stáva čoraz atraktívnejším cieľom hackerov. CYFIRMA mapovala taktiky a techniky na rámec MITRE ATT&CK, čo potvrdzuje vysokú úroveň sofistikovanosti.
Kyberbezpečnostní analytici odporúčajú automobilkám okamžite prijať komplexné opatrenia a to od viacfaktorovej autentifikácie, cez častejšiu výmenu prístupových údajov, až po pokročilé systémy na odhaľovanie laterálneho pohybu v sieti. Rovnako kľúčové je testovanie reakcie na incidenty prostredníctvom cvičení a simulácií.
V prípade Jaguar Land Rover bude rozhodujúce, či sa spoločnosti podarí obnoviť nielen prevádzku, ale aj dôveru partnerov a zákazníkov.
