Automobilka Jaguar Land Rover (JLR) zažila začiatkom septembra 2025 najvážnejší kybernetický incident všetkých čias. Druhého septembra hackeri prenikli do interných systémov spoločnosti a prakticky zastavili jej chod. Problémy sa týkali všetkého od globálnych IT sietí až po výrobné linky a predajné prevádzky. Chaos zasiahol aj dealerov, ktorí nedokázali registrovať nové autá práve počas britského „New Plate Day“, tradične jedného z najdôležitejších dátumov v kalendári automobilového trhu. Výsledkom boli okamžité finančné straty a tisíce zamestnancov poslaných domov.
Podľa kyberbezpečnostnej spoločnosti CYFIRMA incident zapadá do širšieho trendu sofistikovaných útokov na automobilový sektor. Už predtým bol JLR terčom skupiny HELLCAT, ktorá v marci 2025 získala a zverejnila stovky interných dokumentov a zdrojový kód.
Útok cez ukradnuté prihlasovacie údaje
Ransomvérová skupina HELLCAT je známa tým, že využíva tzv. infostealer malvér na kradnutie prístupových údajov. Práve cez ukradnuté prihlasovacie údaje do firemného nástroja Jira sa im podarilo preniknúť do systémov JLR a stiahnuť približne 700 interných dokumentov. Údaje obsahovali vývojové logy, kódové súbory aj databázu zamestnancov so všetkými identifikačnými údajmi.
Len pár dní po tomto úniku sa na dark webe objavil ďalší aktér pod prezývkou APTS, ktorý tvrdil, že disponuje ešte väčším objemom dát (až 350 GB) získaných z kompromitovaných účtov tretích strán už od roku 2021. V septembri sa navyše ozvala skupina vystupujúca na Telegrame pod menom Scattered Spider Lapsus$ Hunters, ktorá zverejnila screenshoty z interného prostredia JLR vrátane domény jlrint.com.
Podľa CYFIRMA ide o jasný dôkaz, že hackeri mali prístup k hlbším vrstvám systémov. Medzi zverejnenými materiálmi boli aj debug logy z infotainment systému PIVI, ktoré odhaľovali konkrétne premenné ako ChargingModeChcToLatch či ChrgModReqTemp. Hackeri zároveň zverejnili aj uniknutý JSON kód backendu, ktorý prepojoval používateľské účty so samotnými vozidlami. Inak povedané, nešlo len o únik know-how, ale aj zvýšené riziko zneužitia dát zákazníkov.
CYFIRMA upozorňuje, že v pozadí celého incidentu môže stáť širší kolektív známy ako ShinyHunters, ktorý sa už predtým zameriaval na britské firmy vrátane Vodafone UK a mal aj politické motívy. Samotná atribúcia je označená ako „medium confidence“, keďže útočníci cielene používajú zavádzajúce mená skupín a šíria informácie cez falošné Telegram účty.
Viac než len finančný útok
Podľa analýzy CYFIRMA sa nezdá, že by útočníci sledovali iba finančný zisk. Verejné zverejnenie interných kódov a logov má podľa odborníkov viacero cieľov a to od psychologického tlaku na JLR, cez budovanie reputácie v hackerskej komunite, až po vysielanie signálu, že dokážu zasiahnuť kritické systémy vrátane výroby či infraštruktúry.
Skupina sa dokonca vyhrážala útokmi na britské telekomunikačné firmy a zverejňovaním súkromných komunikácií politikov, čo poukazuje na kombináciu finančných, reputačných aj politických motívov.
Čo to znamená pre automobilový sektor
Incident má viacrozmerné následky. Zastavenie výroby a distribúcie je okamžitým úderom pre biznis, no dlhodobejšie hrozby predstavuje strata dôvernosti dát a uniknuté know-how. V hre je aj poškodenie dôvery zákazníkov, keďže uniknuté autentifikačné mechanizmy či prístupové tokeny môžu byť neskôr zneužité.
Navyše, útok na JLR je jasným signálom pre celý automobilový sektor, že práve tento priemysel sa stáva čoraz atraktívnejším cieľom hackerov. CYFIRMA mapovala taktiky a techniky na rámec MITRE ATT&CK, čo potvrdzuje vysokú úroveň sofistikovanosti.
Kyberbezpečnostní analytici odporúčajú automobilkám okamžite prijať komplexné opatrenia a to od viacfaktorovej autentifikácie, cez častejšiu výmenu prístupových údajov, až po pokročilé systémy na odhaľovanie laterálneho pohybu v sieti. Rovnako kľúčové je testovanie reakcie na incidenty prostredníctvom cvičení a simulácií.
Konečný účet za útok
Podľa Centra pre kybernetický monitoring (CMC) dosahujú ekonomické škody v Spojenom kráľovstve približne 1,9 miliardy libier, čo je cca 2,2 miliardy eur. Podľa CMC bolo postihnutých viac ako 5 000 spoločností a dodávateľov, najmä malých a stredných podnikov. Výroba bola úplne prerušená na viac ako šesť týždňov. Podľa výpočtov CMC bolo týždenne mimo výroby približne 5 000 vozidiel, čo zodpovedá týždennej hodnote produkcie na úrovni okolo 108 miliónov libier.
„Útok na spoločnosť Jaguar Land Rover je ekonomicky najškodlivejším kybernetickým incidentom v histórii Spojeného kráľovstva,“ povedal riaditeľ CMC Ciaran Martin, bývalý vedúci Národného centra kybernetickej bezpečnosti. Výrazne postihnutý bol aj dodávateľský reťazec. Približne 1 000 dodávateľov prvej úrovne a niekoľko tisíc ďalších spoločností druhej a tretej úrovne malo problémy s likviditou. Niektoré z nich museli znížiť mzdy alebo prepustiť zamestnancov. Britská vláda podala spoločnosti pomocnú ruku v podobe štátnej záruky vo výške 1,5 miliardy libier.
Podľa CMC bude mať spoločnosť JLR vysoké náklady na obnovu IT systémov, vykonávanie forenzných vyšetrovaní a zlepšenie digitálnej bezpečnosti. Centrum takisto predpokladá, že spoločnosť sa vráti na úroveň produkcie spred útoku až začiatkom januára 2026.
