Ataque cibernético TfL: Homens que transmitiram hack de £ 29 milhões ao vivo são presos

Dois jovens membros de um grupo criminoso de hackers que se transmitiram ao vivo realizando um ataque cibernético ao Transport for London (TfL) que fez com que a organização “desligasse” seus sistemas foram presos.

Talha Jubair, 20, e Owen Flowers, 18, realizaram um “hack extremamente grave” na rede online do TfL que poderia ter causado “danos catastróficos” aos seus sistemas entre 31 de agosto e 3 de setembro de 2024.

A “violação de vários dias” forçou todos os mais de 27.000 funcionários da TfL a visitarem pessoalmente o escritório para redefinir suas senhas.

Na audiência de sentença de quarta-feira, a promotoria disse que os hackers “foram capazes de desligar e encerrar completamente o TfL” porque eventualmente obtiveram “o acesso mais privilegiado” ao sistema, apelidado de “chaves do reino”.

Mark Fenhall, KC, promotor, disse: “Esses dois jovens são altamente qualificados com computadores e capazes de causar estragos e, você poderia pensar, eles são completamente indiferentes às consequências para a sociedade e ao sofrimento e custo potencial para os outros”.

Os dados do sistema de cashback Oyster foram acessados, os sistemas sem contato foram interrompidos e os pedidos de cartões fotográficos Oyster para crianças e jovens foram encerrados.

Owen Flowers e Talha Jubair realizaram um “hack extremamente sério” na rede online do TfL que poderia ter causado “danos catastróficos” aos seus sistemas. (PA)

Jubair e Flowers foram presos por cinco anos e seis meses no Woolwich Crown Court na quinta-feira.

Numa sentença televisionada, o juiz Turner dirigiu-se aos réus e disse: “Estou convencido de que as suas ações foram motivadas principalmente por bravatas egoístas, sem levar em conta as consequências para os outros.”

O tribunal ouviu que os réus estavam associados a um grupo conhecido como Scattered Spider e usaram esse nome para se comunicarem durante o ataque.

A TfL afirma que o incidente custou £ 10 milhões em receitas perdidas, juntamente com £ 29 milhões em perdas devido a interrupções de serviço e operacionais.

Os hackers trabalharam durante a noite durante 16 horas para obter acesso aos sistemas do TfL depois que o suporte técnico foi induzido a redefinir a senha, ouviu o tribunal.

Eles então fizeram login no Microsoft Azure e começaram a “usar os próprios sistemas do TfL para se hackearem” enquanto navegavam no sistema.

“Eles são hackers experientes e talentosos que trabalharam com outros para atacar o TfL”, disse Fenhall.

Os réus foram associados a um grupo conhecido como Scattered Spider e usaram esse nome para se comunicarem durante o ataque. (Agência Nacional do Crime)

Flowers transmitiu Jubair ao vivo enquanto ele executava o hack, e alguns dos vídeos foram recuperados quando ele foi preso três dias depois, em 6 de setembro.

A dupla manteve comunicação constante durante o ataque e falou sobre “detonar” o acesso aos servidores durante a saída.

Os promotores disseram que a dupla foi “totalmente imprudente quanto às consequências” e destacaram as potenciais perdas de bilhões de dólares para o Reino Unido se hackers tivessem bloqueado ou destruído o sistema central do TfL.

Numa declaração sobre o impacto da vítima lida ao tribunal na quarta-feira, a TfL disse acreditar que os hackers obtiveram “acesso suficiente” durante o ataque para “causar danos catastróficos a numerosos sistemas tecnológicos que teriam causado degradação significativa e sustentada e interrupção dos serviços de transporte”.

Fenhall disse: “O TfL efetivamente desligou seus sistemas; eles desconectaram todas as conexões de computador à Internet.

“Era a única coisa que podiam fazer para remover a ameaça do sistema e evitar o desastre”.

Defendendo Jubair, Paul Kelleher KC comparou seu cliente a um “Oliver Twist dos tempos modernos”, preparado desde cedo para usar suas habilidades de hacker.

Na audiência de sentença de quarta-feira, a promotoria disse que os hackers “poderiam ter fechado e encerrado completamente o TfL”. (PA)

No ano passado, Jubair foi condenado por 22 crimes, incluindo invasão de indivíduos, empresas de telecomunicações e do sistema policial da cidade de Londres.

Falando em nome de Flowers, que tinha 17 anos quando executou o hack, Adam Davies KC descreveu seu cliente como “um garoto imaturo tentando provar seu valor online”.

Quando Flowers foi preso em setembro de 2024, descobriu-se que seu laptop estava invadindo dois sistemas de saúde dos EUA. O tribunal ouviu que esses hacks só foram interrompidos devido ao “momento fortuito” de sua prisão.

Ambos os jovens se declararam culpados de conspiração para cometer atos não autorizados em relação a um computador, causando ou arriscando danos graves.

Flowers também se declarou culpado de duas acusações de conspiração para cometer atividades informáticas não autorizadas com a intenção de danificar os sistemas de saúde.

Link da fonte