去年,駭客侵入了英國製造業皇冠上的明珠捷豹路虎的電腦系統。這是一次毀滅性的攻擊,迫使捷豹關閉其電腦並暫停生產五週。這次駭客攻擊甚至對更廣泛的經濟造成了影響,使其成為該國歷史上損失最慘重的網路攻擊。
這次駭客攻擊令人震驚,但也很神秘。從來沒有像此類入室盜竊中常見的索要金錢的情況。一個鬆散的黑客團體(其中一些來自英國)聲稱功勞。他們的說法導致新聞媒體猜測他們應該受到指責。
他們不是。據五位熟悉這次駭客調查的人士透露,是一群俄羅斯駭客對這起事件負責。由於此事的敏感性,他們要求匿名。
四名知情人士表示,來自英國和美國的執法部門和私營部門網路回應專家確定,這次攻擊在方法和動機上與駭客集體不同。
當局仍在整理模糊的細節,以確定攻擊者是在克里姆林宮的授意下還是在其默許下進行行動。
2025 年 8 月底的駭客攻擊及其經濟後果被廣泛報導。十月,《每日電訊報》報道稱,當局正在調查俄羅斯是否參與其中。政府和一些私營部門調查人員得出的關於該組織是俄羅斯人的結論此前從未有過報導。
俄羅斯組織的駭客攻擊並不是什麼新鮮事。然而,對捷豹的攻擊 — — 以及俄羅斯國家的潛在參與 — — 提出了一種可能性,即這不是典型的贖金攻擊,而是對主權國家經濟基礎的攻擊。它利用了人們長期以來的擔憂,即敵對國家可能會遠端削弱能源網或主要生產商等關鍵基礎設施,從而造成混亂和經濟損失。
美洲虎的滲透產生了深遠的後果。 2025 年第三季的生產放緩,估計給英國經濟造成了 25 億美元的損失,並讓該公司在 2026 財年損失了約 3.5 億美元。
它也具有強大的象徵意義。查理三世國王和卡米拉王后使用捷豹汽車,英國軍方數十年來一直依賴其標誌性的路虎車隊。
《紐約時報》的新報道披露了調查的其他細節。 例如,據四位知情人士透露,微軟已經追蹤了該俄羅斯組織,並向捷豹發出了誰入侵其係統的警報。駭客使用了新的勒索軟體,其加密演算法是一些網路安全專家在先前的攻擊中從未見過的。有人形容它“令人驚嘆”。
在匆忙搭建的作戰室裡,捷豹在這一集裡蜷縮在一起 網路安全研究人員和私營部門專家。參與者包括英國國家犯罪局和國家網路安全中心,以及 Palo Alto Networks 和Google的 Mandiant 部門。聯邦調查局也提供了協助。他們急於控制惡意軟體,而駭客則爭先恐後地抹去他們的足跡。
捷豹襲擊事件發生之際,俄羅斯和英國之間的敵對關係日益加劇,俄羅斯對烏克蘭的軍事援助激怒了克里姆林宮。據前英國和美國情報官員稱,英國也對俄羅斯發動了秘密網路入侵和破壞行動。
英國國家犯罪局發言人表示,雖然無法對正在進行的調查發表評論,但它知道“一些針對英國最引人注目的網路攻擊是由俄羅斯犯罪分子實施的,其中一些負責的組織與俄羅斯國家有聯繫。”
捷豹路虎以正在進行的執法調查為由拒絕置評。聯邦調查局拒絕置評。
弗拉基米爾·V·普丁總統的發言人德米特里·佩斯科夫表示:“我們對此一無所知。”
隨著調查的持續,一些線索逐漸浮現。這次襲擊是經過精心策劃的。駭客利用過時技術中的漏洞,然後釋放複雜的勒索軟體,旨在劫持公司的網路。
專家表示,此類技術在民族國家中更為常見,而不是那些不花太多錢就想獲得巨額回報的網路犯罪分子。民族國家還可以資助網路犯罪分子或提供駭客工具給他們。
據西方安全部門稱,俄羅斯是世界上最大的網路犯罪來源國,其情報部門長期以來與網路犯罪分子聯手進行間諜活動和攻擊。
前美國政府網路安全承包商 Alex Orleans 將這種關係與 20 世紀 60 年代和 1970 年代有組織犯罪和紐約警察局部分單位的關係進行了比較。 「就像黑手黨向某些官員提供庇護和保護一樣,俄羅斯政府為在俄羅斯領土上活動的電子犯罪分子提供了 krysha(一個『屋頂』),」奧爾良先生說。
4 月在蘇格蘭舉行的一次網路會議上,最近任命的英國國防部長、黑客攻擊發生時擔任安全大臣的丹·賈維斯 (Dan Jarvis) 表示,敵對國家得出的結論是,“最有效的方法不是直接對抗我們,而是悄悄地侵蝕我們。”
確定俄羅斯政府是命令駭客組織破壞捷豹汽車還是默許它是一項艱鉅的任務,但並非不可能。
2024 年,英國對一個名為 Evil Corp 的俄羅斯組織實施了製裁,該組織是一個臭名昭著的網路犯罪集團,在莫斯科開展業務,使用勒索軟體和其他惡意軟體進行攻擊。
美國國家犯罪局在 2024 年與聯邦調查局和澳洲聯邦警察的聯合報告中表示,俄羅斯情報部門利用該組織對北約盟國實施攻擊和間諜活動,「遠遠超出了典型的國家與犯罪之間的保護、賄賂和勒索關係」。
甚至在捷豹襲擊之前,就有跡象表明該公司的系統已受到損害。據網路專家稱,去年 6 月,一名駭客洩露了包括該公司內部 IP 位址在內的資訊。
他們將這名駭客(一位名叫「雷伊」的約旦人)描述為出售被駭系統存取權限的人。他的訊息顯示有人在公司網路內。巧合的是,俄羅斯駭客也在場。
雷伊的消息在捷豹內部引起了警報。該公司立即採取措施解決可能的漏洞,更新軟體並重建易受攻擊但對生產管道至關重要的舊伺服器。
太晚了。俄羅斯駭客已經利用了軟體和硬體的弱點。三名知情人士表示,他們已經悄悄滲透到網路中,等待發動攻擊。
時機再糟糕不過了。這件事發生在 8 月 31 日,當時該公司正準備向世界各地的經銷商推出新車。印度塔塔集團旗下的捷豹路虎在英國擁有 34,000 名員工,並透過其供應鏈為英國提供了另外 12 萬個就業機會。
兩位知情人士表示,這次攻擊中使用的勒索軟體與參與調查的安全研究人員所見過的任何勒索軟體都不同。加密技術非常複雜且不同尋常——“非常非常複雜”,一位專家說。
襲擊者警告捷豹不要向英國當局尋求幫助,並表示將在 72 小時內聯繫。該公司無視警告並邀請英國研究人員和其他人 到他位於中部地區的作戰室。
幾個小時內,該公司不得不關閉其係統,並停止其位於英國、巴西、中國、印度和斯洛伐克工廠的生產。這是一個重大的步驟,但它使該公司能夠阻止駭客完全控制其全球網路。該勒索軟體旨在加密伺服器,包括備份伺服器,將捷豹鎖定在其自己的系統之外。
最終,隨著網路專家努力重新獲得控制權,攻擊者被踢出網路。捷豹於10月緩慢恢復運營,並於11月中旬恢復正常生產水準。
一旦該公司控制住了攻擊,就會進行分析以查明是誰發動了攻擊。一個自稱「分散的 Lapsus$ Hunters」的駭客組織透過 Telegram 頻道聲稱對此事負責。該組織取自現有網路犯罪組織的名稱,這些組織近年來因數十起重大企業資料外洩事件而受到讚揚。
其中一個名為「分散蜘蛛」的組織涉嫌去年春天對英國零售商發動了數起攻擊,其中包括哈羅德百貨公司和瑪莎百貨。 它也針對美國公司。
研究人員很快就確定,捷豹路虎使用的方法與駭客攻擊不同,至少有兩次攻擊要求勒索贖金,並使用網路釣魚等線上欺騙手段來誘騙目標授予存取權限。
三名知情人士表示,該公司並不知道誰是攻擊的幕後黑手,直到微軟在襲擊發生後幾天向其發出警報,稱該俄羅斯駭客組織對攻擊負責。微軟拒絕置評。
捷豹路虎在政府的幫助下已經康復,政府為汽車製造商提供了汽車保障 大約 20 億美元的貸款可用於支持其供應商。
在蘇格蘭舉行的網路會議上,賈維斯表示損失非常嚴重。
他說:“如果這種損害是由老式的物理攻擊造成的,那麼相當於數百名蒙面犯罪分子出現在全國各地的經銷商處,打破玻璃、砸碎電腦並將汽車駛離前院。”
