Usługi publicznego Wi-Fi realizowane są prace nad odzyskaniem bezpieczeństwa na 19 najważniejszych dworcach kolejowych w Wielkiej Brytanii, w tym na większości londyńskich dworców kolejowych, po cyberataku, w wyniku którego na stronach docelowych wyświetlały się islamofobiczne wiadomości osobom próbującym się zalogować.
Atak – prawdopodobnie dzieło skrajnie prawicowi haktywiścichoć nie jest to potwierdzone – zaczęło się w godzinach szczytu wieczornego w środę 25 września i spowodowało wyłączenie usług w celu przeprowadzenia dochodzenia i naprawy. W chwili pisania tego tekstu usługa pozostaje zakłócona i może nie zostać w pełni przywrócona przez maksymalnie 48 godzin.
W krótkim oświadczeniu: Sieć kolejowa rzecznik powiedział: „Wczoraj wieczorem publiczne Wi-Fi na 19 stacjach zarządzanych przez Network Rail zostało poddane incydentowi cyberbezpieczeństwa i gwałtownie zostało wyłączone. Incydent jest w tej chwili przedmiotem pełnego dochodzenia.
„Wi-Fi jest dostarczane przez stronę trzecią, jest samowystarczalne i jest prostą usługą „kliknij i połącz”, która nie zbiera żadnych danych osobowych. Po zakończeniu naszych ostatecznych kontroli bezpieczeństwa przewidujemy, iż usługa zostanie przywrócona do końca tygodnia”.
Rzecznik prasowy Telentktóra obsługuje dotknięte problemem sieci, poinformowała: „W związku z incydentem mającym wpływ na publiczną sieć Wi-Fi na stacjach zarządzanych przez Network Rail, firma Telent nawiązała współpracę z Network Rail i innymi interesariuszami.
„W wyniku dochodzeń przeprowadzonych z Global Reach, dostawcą strony docelowej Wi-Fi, ustalono, iż na stronie docelowej Network Rail dokonano nieautoryzowanej zmiany i sprawa jest w tej chwili przedmiotem dochodzenia karnego prowadzonego przez Brytyjską Policję Transportową.
„Żadne dane osobowe nie zostały naruszone. Jako środek ostrożności, Telent tymczasowo zawiesił wszelkie korzystanie z usług Global Reach, jednocześnie weryfikując, czy żaden inny klient Telent nie został dotknięty” – powiedzieli.
Utrudnienia dotknęły następujące stacje: Birmingham New Street, Bristol Temple Meads, Clapham Junction, Edinburgh Waverley, Glasgow Central, Guildford, Leeds, Liverpool Lime Street, London Bridge, London Cannon Street, London Charing Cross, London Euston, London King’s Cross, London Liverpool Street, London Paddington, London Victoria, London Waterloo, Manchester Piccadilly i Reading.
Samotny napastnik czy zagrożenie ze strony państwa?
Chociaż wielu obserwatorów podkreślało zagrożenia dla infrastruktury krytycznej, takiej jak sieć kolejowa Wielkiej Brytanii, wynikające z ataków wykorzystujących sąsiednie systemy, wysoce specyficzny charakter ataku na Network Rail wydaje się sugerować, iż nie jest to dzieło cyberprzestępców motywowanych finansowo, chociaż nie wiadomo, czy może być w to zamieszany podmiot państwowy. Podmioty państwowe są znane z ukrywania się za przykrywką zakłócających porządek internetowych hakerów, trend, który gwałtownie wzrósł od czasu inwazji Rosji na Ukrainę w 2022 roku.
Jake Moore, globalny doradca ds. cyberbezpieczeństwa w ESETpowiedział: „Cyberataki często mają miejsce w trybie ukrytym i mają na celu wykonywanie działań bez zauważenia czegokolwiek przez kogokolwiek, dopóki rzeczywiste szkody nie zostaną wyrządzone. Jednakże oszpecenie ekranu logowania Wi-Fi wiadomością o charakterze terrorystycznym sugeruje, iż motywem może być po prostu sprawdzenie ogólnego bezpieczeństwa, a nie stworzenie rzeczywistego zagrożenia – a w tym przypadku za pośrednictwem najsłabszego ogniwa w łańcuchu dostaw i najprawdopodobniej za pośrednictwem kampanii phishingowej.
„Motywowani finansowo cyberprzestępcy szukają danych, które mogą ukraść lub sabotować, żądając okupu. Wydaje się jednak, iż nie zażądano tu niczego więcej poza większym bezpieczeństwem po oddzielny atak na TfL na początku tego miesiąca.”
