ElectricShare.cz
Inovace

Two Scattered Spider Hackers Get 5.5 Years Each for £29 Million TfL Hack

Two Scattered Spider Hackers Get 5.5 Years Each for £29 Million TfL Hack - Inovace | SmartEnergyShare

NADPIS: Hackeři vysáli z londýnského dopravního podniku 29 milionů liber. Příště to může být vaše rozvodna.

Dva mladíci, kteří ještě nedávno seděli u počítače v ložnici, dostali dohromady jedenáct let vězení. Ne za bankovní loupež, ne za drogy — za to, že se vydávali za IT technika po telefonu. Tak jednoduchý byl vstupní bod do systémů Transport for London, které za jediný útok stály přes 29 milionů liber a měsíce chaosu v jedné z největších dopravních sítí Evropy. Skupina, která za tím stojí, se jmenuje Scattered Spider, a pokud si myslíte, že tohle je jen problém londýnského metra, mýlíte se. Stejné taktiky teď míří na evropské energetické firmy, vodárny a průmyslové provozy — včetně těch českých.

Kdo je Scattered Spider a proč by vás to mělo zajímat

Scattered Spider není klasický ruský nebo čínský APT tým sedící v armádní budově. Je to volná síť mladých, převážně anglicky mluvících útočníků — někteří dokonce teenageři — kteří vynikají v jedné konkrétní disciplíně: sociálním inženýrství. Místo aby lámali šifrování nebo hledali zero-day zranitelnosti, prostě zavolají na helpdesk a přesvědčí operátora, aby jim resetoval heslo nebo přeposlal dvoufaktorové ověření na nové číslo. SIM swapping, vishing (hlasový phishing), falešné IT tikety — to je jejich chleba.

U TfL to fungovalo přesně takhle. Útočníci získali přístup k interním systémům, ukradli data přibližně 5 000 zákazníků včetně bankovních údajů a vynutili si odstávku části online služeb na týdny. Škoda 29 milionů liber zahrnovala nejen přímé náklady na obnovu, ale i ušlé tržby a penále. Britský soud teď oba usvědčené — dvacetiletého a devatenáctiletého muže — poslal na 5,5 roku každého. Pro některé experty je to trest spíš symbolický, protože zbytek gangu zůstává na svobodě a rekrutuje nové členy přes Discord a Telegram.

Podobné techniky použila Scattered Spider i proti kasinům MGM Resorts a Caesars v USA, kde škody přesáhly stovky milionů dolarů. A stejný playbook — zavolej, přesvědč, získej přístup — funguje stejně dobře na operátora rozvodny jako na helpdesk kasina.

Proč je energetika mnohem lákavější cíl než metro

Dopravní podnik ztratí data zákazníků a pár týdnů tržeb. Energetická firma, když se útočník dostane z IT sítě do OT prostředí (operational technology — řídicí systémy, SCADA, PLC), může způsobit výpadek proudu pro statisíce domácností. Ukrajina to zažila v letech 2015 a 2016, kdy skupina Sandworm vyřadila z provozu tři regionální distributory elektřiny a později přímo zaútočila na přenosovou soustavu. V roce 2021 zase Colonial Pipeline v USA zastavil dodávky paliva na východním pobřeží kvůli ransomwaru, který se dostal přes jediné kompromitované VPN heslo bez dvoufaktorového ověření.

Rozdíl mezi IT a OT útokem je zásadní. V IT síti hackeři kradou data a vydírají. V OT síti mohou fyzicky poškodit zařízení, vypnout ochrany transformátorů nebo manipulovat s frekvencí sítě. A hranice mezi IT a OT se rok od roku ztenčuje — chytré měřiče, vzdálený monitoring FVE, bateriová úložiště připojená k cloudu, to všechno vytváří nové cesty dovnitř.

Firma Dragos, která se specializuje výhradně na OT bezpečnost, ve svých čtvrtletních reportech opakovaně upozorňuje, že počet skupin cíleně mapujících energetickou infrastrukturu roste dvouciferným tempem každý rok. Nejde jen o státem sponzorované aktéry — kriminální gangy typu Scattered Spider si čím dál víc uvědomují, že energetická firma zaplatí výkupné rychleji než dopravní podnik, protože výpadek elektřiny bolí okamžitě a viditelně.

Jak přesně takový útok probíhá — technický pohled

Scattered Spider a podobné skupiny obvykle postupují ve třech fázích. První je průzkum — na LinkedIn si najdou jména zaměstnanců IT oddělení, zjistí strukturu firmy, najdou telefonní čísla helpdesku. Druhá fáze je samotné sociální inženýrství: zavolají, představí se jako nový zaměstnanec nebo kolega ze vzdálené pobočky, a požádají o reset hesla nebo o přidání nového MFA zařízení k účtu. Klíčový trik je vytvořit tlak — "potřebuji to hned, jsem na cestě na důležitou schůzku" — aby operátor přeskočil ověřovací postup.

Třetí fáze je lateral movement, tedy pohyb sítí. Jakmile mají přístup k jednomu účtu, hledají cestu k doménovým administrátorům, k VPN branám, k jump serverům, které propojují kancelářskou síť s průmyslovým prostředím. Přesně tady se rozhoduje, jestli útok skončí jako "jen" únik dat, nebo jako zásah do provozu.

Typické chyby, které jim to usnadňují: sdílené účty bez jmenné odpovědnosti, MFA založené pouze na SMS (které lze obejít SIM swapem), helpdesk bez ověřovacích otázek nad rámec jména a data narození, a hlavně — plochá síťová architektura, kde se z kancelářského notebooku dá bez segmentace dostat až k řídicímu systému rozvodny nebo bateriového úložiště.

Co k tomu říká NUKIB a co reálně dělat

Národní úřad pro kybernetickou a informační bezpečnost pravidelně vydává metodiky přesně pro tento typ hrozby — doporučení k MFA odolnému proti phishingu (FIDO2/klíče místo SMS kódů), segmentaci OT/IT sítí a ověřování identity při telefonickém kontaktu s helpdeskem. Podrobnosti najdete na nukib.gov.cz. Pro provozovatele kritické infrastruktury podle zákona o kybernetické bezpečnosti je navíc povinné hlásit incidenty a mít zavedený systém řízení bezpečnosti — což zní byrokraticky, ale v praxi to znamená, že když se něco podobného stane, firma má aspoň plán, co dělat další hodinu, ne panika a improvizace.

Konkrétní kroky, které fungují a nestojí miliony: - Zrušit SMS jako druhý faktor u administrátorských a helpdeskových účtů, nahradit hardwarovým klíčem nebo aplikací s vazbou na zařízení. - Zavést callback ověření — když někdo volá na helpdesk s žádostí o reset, operátor zavolá zpět na číslo, které má v systému, ne na to, které mu volající právě nadiktoval. - Segmentovat síť tak, aby kompromitace kancelářského účtu nevedla automaticky k přístupu do SCADA nebo BMS systémů baterií a FVE. - Pravidelně testovat helpdesk pomocí red-teamingu — zaplatit si firmu, která se pokusí přesně tímhle způsobem proniknout dovnitř, a zjistit, jak dlouho to trvá.

Menší energetické firmy a komunitní projekty sdílení elektřiny často argumentují, že "na ně přece nikdo neútočí, jsou malí". To je omyl — malé firmy jsou často vstupní branou k větším partnerům přes propojené API a datové toky. Přesně proto je důležité mít i u menších instalací, jako je IoT monitoring fotovoltaiky nebo bateriových úložišť, řádně zabezpečený přístup a auditovatelné logy.

Co to znamená pro komunitní energetiku a sdílení elektřiny v ČR

Sdílení elektřiny je od roku 2024 legální i v Česku a čím dál víc domácností a firem si vyměňuje přebytky z fotovoltaiky přes agregátory a energetické komunity. To je skvělá zpráva pro peněženku, ale zároveň to znamená nový typ propojené infrastruktury — chytré měřiče, cloudové platformy, API mezi distributorem a agregátorem. Každý takový spoj je potenciální vstupní bod.

Když se podíváte na to, jak funguje sdílení elektřiny přes platformu jako SmartEnergyShare, je tam vrstva ověřování, šifrovaná komunikace s distribuční soustavou a monitoring anomálií — to není luxus, to je nutnost v éře, kdy skupiny jako Scattered Spider aktivně hledají slabý článek v dodavatelském řetězci. Pro výrobce FVE i odběratele to znamená jednu praktickou věc: ptejte se svého poskytovatele, jak chrání přístup k datům o vaší spotřebě a výrobě, ne jen jak vysoký je tarif.

Podobně to platí pro obce, které začínají budovat vlastní energetické komunity — stránka pro obce a města popisuje, jak se dá sdílení nastavit bezpečně a transparentně, s jasnou odpovědností za kybernetickou hygienu na straně platformy i odběrných míst.

Zajímavé srovnání nabízí i ShareElectric.cz, který se věnuje sdílení fotovoltaiky z pohledu koncového uživatele — a ukazuje, že bezpečnost a jednoduchost se nemusí vylučovat. Pro hlubší technický pohled na to, jak umělá inteligence mění řízení chytrých sítí a proč to přináší nová bezpečnostní rizika, stojí za přečtení i smartenergyshare.info, zaměřený na smart grid a AI v energetice.

Bateriová úložiště jako nový terén pro útočníky

Bateriová úložiště (BESS) se stávají páteří flexibility elektrické sítě — vyrovnávají špičky, poskytují podpůrné služby, umožňují obchodování s flexibilitou. Jenže každý BESS je v podstatě počítač s vysokým výkonovým potenciálem připojený k internetu. Pokud útočník získá kontrolu nad řídicím systémem baterie, může teoreticky vynutit nesprávné nabíjení nebo vybíjení, poškodit články, nebo prostě způsobit výpadek služby přesně ve chvíli, kdy je síť nejzranitelnější — třeba během večerní špičky.

Firmy nabízející obchodování s flexibilitou a služby výkonové rovnováhy proto musí kombinovat energetickou expertízu s reálnou OT bezpečností — ne jen s certifikátem na papíře. Detailní technický rozbor rizik spojených s bateriovými úložišti a jak se před nimi bránit najdete na bess-global-blog.vercel.app, který se tématu věnuje dlouhodobě a jde hlouběji do konkrétních protokolů a zranitelností BMS systémů.

Praktické doporučení pro každého, kdo provozuje BESS připojené k síti: izolovat řídicí VLAN od zbytku firemní IT infrastruktury, vynutit MFA na vzdálený přístup k monitoringu, a hlavně — mít offline záložní postup, jak baterii bezpečně odpojit i v případě, že se ztratí digitální kontrola. Zní to jako základ, ale podle interních auditů energetických firem je to přesně ten krok, který se často přeskočí kvůli tlaku na rychlé nasazení.

Závěr: trest 5,5 roku nikoho neodradí

Jedenáct let vězení pro dva mladíky zní jako spravedlnost, ale realisticky to Scattered Spider nezastaví. Gang funguje jako otevřená komunita — noví členové přicházejí rychleji, než staří sedí ve vězení. Pro energetické firmy, provozovatele bateriových úložišť a komunitní energetiku to znamená jediné: spoléhat na to, že "nás to nepotká", je horší strategie než investovat pár tisíc korun do školení helpdesku a hardwarových MFA klíčů.

Pokud provozujete FVE, baterii nebo se chystáte zapojit do sdílení elektřiny, podívejte se, jak konkrétně vaše platforma řeší ověřování a segmentaci sítě — jak to funguje na SmartEnergyShare je dobré místo, kde začít se srovnáním. A pokud si nejste jistí, kde ve vaší firmě je slabý článek, možná je čas na energetické poradenství, které se dívá i na tuhle stránku věci, ne jen na tarify a úspory.

Příští Scattered Spider případ se možná neobjeví v titulcích jako útok na metro. Možná to bude tichý výpadek regionální distribuční sítě, o kterém se dozvíte až z faktury.

Zdroje

Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →

Další články na toto téma najdete na: SdileniEnergie.info SmartEnergyShare není dodavatel elektřiny: Jak funguje el... Vice o ministři eu