Как два подростка почти обрушили транспортную систему Лондона и заодно вошли в историю британского правосудия

В Вулиджском королевском суде в четверг, 16 июля, огласили приговор двум молодым людям — Оуэну Флауэрсу, 18 лет, и Тальхе Джубаиру, 20 лет. Каждый получил по 5,5 года. Свою вину оба признали 22 июня — в тот самый день, когда должен был начаться суд. Обвинение строилось на статье 3ZA Закона о неправомерном использовании компьютеров 1990 года — самой тяжёлой в этом законе. Формулировка обвинения звучит специфически: подсудимые действовали безрассудно, не учитывая, что создают серьёзный риск причинения вреда благополучию людей.
CPS утверждает, что Флауэрс и Джубаир — первые хакеры, успешно осуждённые по статье 3ZA. NCA дают другую цифру: второе подобное дело. Ведомства не объяснили, откуда взялось расхождение — то ли имеется в виду разница между «привлечён к ответственности» и «осуждён», то ли что-то ещё. При этом NCA называет процесс крупнейшим уголовным делом о киберпреступлении, которое когда-либо рассматривали британские суды.
Сама атака на Transport for London произошла в конце лета 2024 года — с 31 августа по 3 сентября. По оценке и NCA, и CPS, ущерб и затраты на восстановление составили 29 миллионов фунтов. Из строя вышли 148 систем TfL. Всех 27 тысяч сотрудников транспортной компании заставили явиться в офисы лично — только так можно было сбросить пароли. Для организации, которая обеспечивает около 9 миллионов поездок в день, это удар не абстрактный.
Список того, что перестало работать, впечатляет разнообразием. Сервис Dial-a-Ride, которым пользуются уязвимые лондонцы для заказа поездок, встал. Цифровые платежи легли. Выдача льготных проездных остановилась. Приём заявок на Oyster photocard — детские и молодёжные скидочные карты — закрыли полностью. Расширение бесконтактной оплаты отложили. Возвраты денег стали занимать значительно больше времени. А данные примерно 5 тысяч человек — номера банковских счетов и сортировочные коды, связанные с возвратами по Oyster — оказались скомпрометированы, вместе с именами, email и, где были, домашними адресами.
Самое неприятное скрывалось в переписке нападавших. Судя по обнаруженным чатам, они собирались стереть доступ к системам перед уходом — своего рода прощальный удар. NCA подсчитали: успешное отключение сети могло обойтись британской экономике в сумму до 56 миллиардов фунтов. CPS выразились скромнее, просто сказав «миллиарды». Этот сценарий остался гипотетическим только потому, что TfL сама превентивно отключила собственную сеть, лишив злоумышленников доступа.
Флауэрса задержали 6 сентября 2024 года дома — спустя три дня после того, как вторжение в TfL закончилось. Причём поймали его буквально на месте преступления: в этот момент он атаковал две американские организации здравоохранения, SSM Health Care Corporation и Sutter Health. Изъяли ноутбуки, системные блоки, жёсткие диски, флешки. На одном из ноутбуков нашли скриншот с подключением к инфраструктуре TfL и видеозаписи — Флауэрс снимал, как Джубаир перемещается по системам транспортной компании во время атаки. Переписку вели через Telegram и общее онлайн-рабочее пространство. Следствие доказало, что Флауэрс был связан с удалённым сервером, с которого запускались все три вторжения — в TfL, SSM Health и Sutter Health. Его устройства связали его со всеми тремя эпизодами разом.
Флауэрсу вменили ещё и сговор против SSM Health, а также покушение против Sutter Health. По данным CPS, он угрожал заблокировать медицинские системы, прекрасно понимая последствия — в переписке он признавал, что это может «убить какого-нибудь 90-летнего старика на аппарате жизнеобеспечения». Собственно, именно его арест и остановил атаку на здравоохранение.
С Джубаиром история другая: доказательства его причастности к атаке на TfL получили за границей, с помощью иностранных прокуроров. У него же есть отдельное, ещё не закрытое дело в США. В сентябре 2025 года в Нью-Джерси рассекретили обвинение — компьютерное мошенничество, мошенничество с использованием электронных средств связи, сговор с целью отмывания денег. Речь идёт о масштабной схеме: около 120 вторжений в сети, минимум 47 пострадавших в США, период с мая 2022 по сентябрь 2025 года, свыше 115 миллионов долларов, выплаченных в качестве выкупа. Ему также вменяют участие во взломе объекта критической инфраструктуры США и вторжение в систему судов США, а ещё — вывод примерно 8,4 миллиона долларов в криптовалюте из кошелька сервера прямо в тот момент, когда агенты пытались его изъять. Максимальный срок по всем пунктам — 95 лет. Пока это лишь обвинения, не проверенные судом, и об экстрадиции ни министерство юстиции США, ни британские ведомства в четверг ничего не сказали.
NCA называют обоих ведущими членами группировки Scattered Spider, известной также под именами Octo Tempest, UNC3944 и 0ktapus. CPS осторожнее: там говорят лишь, что подсудимые в разное время заявляли о принадлежности к группе, на счету которой, предположительно, сотни атак с 2022 по 2025 год. ФБР, чью цитату привели в заявлении NCA, связывает группировку с вымогательством данных, подменой SIM-карт и социальной инженерией.
NCA утверждает, что их действия против этих двоих фактически остановили группировку, ссылаясь на оценку Microsoft — аресты якобы серьёзно подорвали её оперативные возможности. Правда, тут же признают: другие преступники вполне могут продолжать использовать бренд Scattered Spider. И действительно, в январе Mandiant зафиксировали расширение вымогательской активности под брендом ShinyHunters — с похожими приёмами: звонки сотрудникам под видом службы поддержки, фишинговые страницы, замаскированные под корпоративные, для перехвата логинов единого входа и кодов многофакторной аутентификации, регистрация собственного устройства злоумышленника для MFA.
Любопытно, что ни NCA, ни CPS в своих релизах так и не объяснили, как именно Флауэрс и Джубаир изначально проникли в системы TfL. Зато исследователи Google по итогам того же расследования выпустили рекомендации по защите: проверять личность при сбросе пароля, при регистрации нового устройства, при изменении настроек MFA. Это как раз те ручные процедуры, которые подобные группы обычно обходят через социальную инженерию и телефонные звонки.
Пол Фостер, глава подразделения NCA по борьбе с киберпреступностью, подчеркнул простую вещь: обращаться в полицию нужно как можно раньше. По его словам, без своевременного обращения TfL в правоохранительные органы этих приговоров, скорее всего, вообще бы не было. Полиция лондонского Сити использовала момент вынесения приговора, чтобы пролоббировать новую меру — так называемые Cyber Crime Risk Orders, которых у них пока нет. Такие ордера позволили бы судам ограничивать использование конкретным человеком устройств, онлайн-сервисов и технологий пропорционально угрозе, которую он представляет. Командир Олли Шоу описал эту меру образно — как «цифровую тюрьму» для осуждённых.
Пока же имеющийся набор инструментов свёлся к обычному тюремному сроку — для двух человек, которым на момент совершения преступлений было 17 и 18 лет.


Новое на сайте

Ссылка