ИТ-инфраструктура «Аэрофлота» подверглась масштабной хакерской атаке. Ответственность за нее уже взяла группировка Silent Crоw. В своем Telegram-канале объединение сообщило, что в операции также участвовали представители организации «Киберпартизаны BY». Злоумышленники заявляют, что им якобы удалось получить доступ к информации объемом 20 терабайт, а также корпоративной почте.
Пресс-служба «Аэрофлота» сообщила о сбое в своих информационных системах. На этом фоне было отменено несколько десятков рейсов из Шереметьево в Астрахань, Астану, Екатеринбург, Ереван, Казань, Калининград, Красноярск, Минск, Мурманск, Омск, Самару, Пермь, Сочи, Петербург и другие города.
Для минимизации последствий атаки Минтранс, Росавиация и «Аэрофлот» начали пересаживать часть пассажиров на рейсы компаний «Победа» и «Россия». Как отметили в транспортном ведомстве, пострадавшая фирма также пытается использовать собственные провозные емкости. В аэропорту Шереметьево гражданам оказывается максимальная поддержка, также организована бесплатная раздача питьевой воды.
Авиакомпания заявила, что ей пришлось отменить 54 рейса из 260 запланированных на понедельник. Остальные 206 рейсов авиаперевозчик сумел выполнить. В Генпрокуратуре России заявили, что по факту хакерской атаки уже проводятся надзорные мероприятия, возбуждено уголовное дело по части четвертой статьи 272 УК РФ (неправомерный доступ к компьютерной информации).
Взлом «Аэрофлота» прокомментировал и пресс-секретарь президента Дмитрий Песков. Он отметил, что поступающая в общий доступ информация по этому поводу «достаточно тревожная». При этом, по его словам, «хакерская угроза» до сих пор сохраняется для всех крупных компаний, оказывающих услуги населению.
О группировке Silent Crow стало известно в январе 2025 года, напоминает «Коммерсант». Тогда объединение заявило о взломе базы Росреестра. В том же месяце организация взяла ответственность за утечку из «Ростелекома».
«Киберпартизаны BY», по их заявлению, были сформированы в 2020 году на территории Белоруссии. В начале 2022 года злоумышленники взломали и заблокировали доступ к серверам железной дороги страны. Кроме того, группировка распространяла в Сети личные данные сотрудников силовых структур и правительства республики.
Сейчас эксперты отмечают, что даже в случае полного купирования угрозы в контексте «Аэрофлота» сохраняется риск повторных атак на другие, не менее значимые организации. Во-первых, таким образом противник пытается оказать морально-психологическое давление на граждан России и дискредитировать крупнейшие организации. А во-вторых, набивает себе цену в неформальном хакерском рейтинге, что потенциально может привести к более масштабным нападкам на ИТ-сферу.
«Любое устройство, подключающееся к интернету, уязвимо. Наиболее распространены DDoS-атаки, когда запросы массово отправляются на сервер и он, образно говоря, уходит в режим сна. Но, судя по всему, удар по "Аэрофлоту" затрагивает сами данные в базе компании, что гораздо серьезнее», – пояснил Сергей Вакулин, специалист по кибербезопасности.
«Скорее всего, у компании есть бэкап – отдельно хранящиеся данные. Поэтому регенерация не должна быть долгой и слишком затруднительной»,
– продолжил собеседник. Он при этом описал два наиболее вероятных сценария, как могла произойти атака. «Первый: хакеры прислали фишинговое письмо на почту "Аэрофлота", которое нерадивый сотрудник открыл и заполнил, кликнув на "красивый" значок. Но более вероятный вариант: злоумышленники воспользовались уязвимостями в системе "Аэрофлота". Это может быть все, что угодно, начиная от XSS до SQL-инъекции», – детализировал аналитик.
«Я вижу две цели атаки. Первая – политическая. Хакеры планировали дискредитировать одну из крупнейших российских компаний сломом ее ИТ-систем. Вторая – самопиар. Среди группировок существует свой неформальный рейтинг. И в погоне за дополнительными очками они, видимо, и могли пойти на атаку», – акцентировал Вакулин.
К сожалению, полностью защититься от кибератак не может ни одна организация, добавляет Вадим Глущенко, директор Центра глобальной ИТ-кооперации. «В конечном счете, человек всегда остается самым уязвимым местом любой системы, каким бы надежным ни было программное обеспечение», – поясняет он. «При этом
заявления хакеров о масштабах взлома и ущербе всегда следует воспринимать критически. Такие сообщения, как правило, преувеличены для провоцирования паники. Тем не менее факт остается фактом: киберугрозы становятся все более изощренными, особенно в текущих геополитических условиях»,
– рассуждает собеседник. «Данные инциденты, увы, стали привычным делом для наших специалистов по информационной безопасности. С другой стороны, это позволило приобрести им бесценный опыт и нарастить компетенции по отражению кибератак и борьбе с их последствиями. Уверен, профильные специалисты найдут решение и в этот раз», – продолжает эксперт. «Конечно, произошедшее станет еще одним поводом для всех российских компаний пересмотреть свои стратегии кибербезопасности, а также всерьез задуматься о защите соответствующей инфраструктуры», – отмечает Глущенко.
В свою очередь, первый зампредседателя комитета Госдумы по информационной политике Антон Горелкин надеется, что предусмотренную законом ответственность понесут не только исполнители атаки, но и те должностные лица, по вине которых она стала возможной. «"Аэрофлот" должен сделать серьезнейшие выводы из этой ситуации», – считает депутат.
«Но самое главное сейчас – выполнить обязательства перед пассажирами. То, что произошло – урок не только участникам рынка авиаперевозок, но и абсолютно всем российским организациям. Нельзя забывать, что война против нашей страны ведется на всех фронтах, в том числе цифровом», – говорит он. «Поэтому
кибербезопасности должно уделяться первостепенное внимание. Важно не только выполнять формальные требования к защищенности своей информационной инфраструктуры, но и регулярно проводить ее испытания. Пока за вас ее не испытали враги»,
– уточнил Горелкин. Однако цели хакеров вряд ли можно считать полностью достигнутыми, полагает Артем Геллер, главный разработчик сайта президента России. «Согласно заявлению группировок, они работали над атакой около года, а специалисты "Аэрофлота" исправят ее последствия за куда меньший срок: от суток до месяца», – рассуждает собеседник.
«Сомневаюсь, что хакеры напрямую воздействовали на серверы авиакомпании. Базовые уязвимости всем известны, соответственно, сотрудники фирмы заранее купировали эти угрозы. Думаю, злоумышленники попали в ИТ-системы через многочисленных подрядчиков», – продолжает эксперт.
«"Аэрофлот" и некоторые другие крупные компании отдают на аутсорс разработку различных цифровых решений. Таким образом, произошедшее можно считать своеобразным сигналом: следует снижать количество подрядчиков и максимально замыкать во внутреннем контуре все, что касается ИТ. Чем больше привлекается внешних игроков – тем хуже для безопасности», – рассказывает он.
«Причем в данном случае нельзя, условно говоря, просто установить антивирус и успокоиться. ИТ-системы "Аэрофлота" и подобных компаний – очень разветвленные и сложные структуры. Для каждого сектора нужно находить и совершенствовать отдельные индивидуальные решения по защите. Кроме того, компаниям нужно улучшать социальную инженерию, то есть нанимать более высококвалифицированных сотрудников, а также менять регламенты и архитектуру цифровой безопасности», – заключил Геллер.