Крупный сбой, имевший место 28 июля в деятельности российского авиаперевозчика «Аэрофлот», был подтверждён как хакерская атака, по информации Генеральной прокуратуры.
В результате произошедшего инцидента в московском аэропорту «Шереметьево» оставили без выполнения около ста рейсов как внутренних, так и международных.
На себя ответственность за взлом взяли хакерские группы Silent Crow и белорусские «Киберпартизаны», которые утверждают о получении доступа к переписке сотрудников и базе данных всех пассажиров «Аэрофлота», что позволяет им потенциально сделать эти данные доступными для публикации.
Информация о сбое в системах «Аэрофлота» была озвучена пресс-службой компании в понедельник утром. Из-за этого инцидента были отменены 54 обратно-поездки, вылетающие из московского хаба авиакомпании, аэропорта «Шереметьево», включая рейсы в Минск, Ереван, Астану, Санкт-Петербург, Сочи, Казань, Минеральные Воды, Калининград и другие направления.
Скопление пассажиров из-за отменённых рейсов вызвало образование длинных очередей в аэропорту, и компания призвала людей забрать свой багаж и покинуть воздушную гавань «для избежания переполнений».
Позже Генпрокуратура сообщила о начале уголовного дела по статье «Неправомерный доступ к компьютерной информации», указав хакерскую атаку как причину сбоя.
Две хакерские группы, Silent Crow и белорусские «Киберпартизаны BY», взявшие на себя ответственность за данное действие, связали свои действия с конфликтом между Россией и Украиной.
В своем сообщении в телеграм-канале Silent Crow хакеры заявили, что в процессе взлома «вся внутренняя IT-инфраструктура «Аэрофлота» была полностью скомпрометирована и уничтожена».
«На протяжении года мы находились в их корпоративной сети… Нам удалось получить и выгрузить все базы данных истории полетов; скомпрометировать все важные корпоративные системы; получить контроль над ПК сотрудников, включая высшее руководство; скопировать информацию с серверов прослушки», — сообщают Silent Crow.
По их оценкам, общий объем полученной информации составляет 22 терабайта, количество уничтоженных серверов — порядка 7000.
«Все эти ресурсы теперь недоступны или уничтожены, и восстановление потребует, возможно, десятков миллионов долларов. Ущерб является стратегическим», — добавили хакеры, выразив поддержку Украине и белорусской оппозиции.
Подтверждения данной информации они не предоставили. Также хакеры опубликовали скриншоты из баз данных и карту серверов.
Silent Crow также сообщили, что планируют в ближайшее время сделать доступными некоторые из полученных данных. Русская служба Би-би-си задавала вопрос представителю «Киберпартизан» о планах по публикации данных из базы полетов, но он ответил, что на данный момент они не собираются их публиковать.
«Аэрофлот» является ведущей авиационной компанией России. В её состав входят авиакомпании «Аэрофлот», «Россия» и «Победа», при этом «Россия» и «Победа» не сообщили о каких-либо отменах рейсов в тот понедельник. Согласно данным «Коммерсанта», в 2024 году доля группы на рынке авиаперевозок РФ составила 42,3%, а только по внутренним рейсам она перевезла 55,3 миллиона пассажиров за 2024 год, как указано в её отчете.
Ранее Silent Crow уже брали на себя ответственность за ряд серьёзных кибератак, включая на базы данных Росреестра и «Ростелекома», где компания объяснила случившееся «утечкой со стороны подрядчика», согласно информации РБК.
«Киберпартизаны», в свою очередь, писали о взломах белорусского государственного регистра недвижимости, системы паспортов и сайта КГБ Беларуси, откуда не могли последовательно скопировать данные за девять лет.
Факторы и последствия
Одна из вероятных причин [взлома] — недостаток контроля доступа и слабая внутренняя безопасность, рассказал Алексей Козлов, старший аналитик компании «Спикател», занимающейся вопросами информационной безопасности. По его мнению, это также касается мониторинга действий инсайдеров: «Это могло позволить злоумышленникам оставаться незамеченными в течение длительного времени». Восстановление IT-структуры может занять месяцы, а, возможно, даже и год, считает он.
«Текущее перепрофилирование инфраструктуры может занять значительное время, например, около полугода», — поддерживает эту точку зрения IT-эксперт Александр Исавнин, с которым поговорил телеграм-канал «Осторожно, новости». Он указывает, что компания смогла возобновить свою работу в течение нескольких часов после сбоя, что вызывает сомнения в масштабах разрушений, о которых заявили хакеры.
«Успешный доступ стал возможен во многом благодаря тому, что некоторые сотрудники пренебрегали элементарными правилами безопасности паролей. Например, гендиректор «Аэрофлота» Сергей Александровский не менял пароль с 2022 года, — утверждают «Киберпартизаны». — К тому же в сети по-прежнему используются [устаревшие] Windows XP и 2003, что привело к компрометации всей их инфраструктуры».
По оценкам Козлова, ущерб от произошедшего взлома составляет от 10 до 15 миллионов долларов, включая затраты на восстановление IT-инфраструктуры, а также расходы, связанные с задержками рейсов, утратой данных клиентов, потерей доверия и возможными штрафами.
Авиакомпания не комментировала эти сообщения и не предоставила ориентировочных оценок убытков.
К вечеру, согласно информации на онлайн-табло, «Аэрофлот» практически восстановил расписание своих рейсов из «Шереметьево». 206 из 260 запланированных на понедельник рейсов были готовы к выполнению, как сообщили в российском Минтрансе и подтвердили в авиакомпании.
Тем не менее, информация о начале процесса возврата билетов или их обмена на новые даты от пресс-службы «Аэрофлота» пока не поступала. Возможность возврата и обмена билетов будет связана с восстановлением функциональности определенной части IT-инфраструктуры, о чём ранее упоминала авиакомпания.
Представитель Кремля Дмитрий Песков назвал инцидент с «Аэрофлотом» «настораживающим». «Хакерская угроза остается актуальной для всех крупных компаний, предоставляющих услуги населению», — заявил он.
Кроме того, в понедельник аэропорт «Жуковский» в Подмосковье также сообщил о проблемах с доступом на свой сайт. Они объяснили возникшие трудности сбоями провайдера связи, добавив, что «внутренние системы аэропорта работают исправно, рейсы принимаются и отправляются по расписанию».
Российские аэропорты, в том числе «Шереметьево», в последние месяцы регулярно отменяли и переносили рейсы из-за атак со стороны украинских беспилотников, в то время как IT-инфраструктура функционировала в обычном режиме.
