Причиной масштабного сбоя в работе «Аэрофлота» оказалась атака украинских хакеров

Серьезный сбой, который произошел 28 июля в работе крупнейшего российского авиаперевозчика, компании «Аэрофлот», оказался хакерской атакой, подтвердила Генпрокуратура. Из-за сбоя в московском «Шереметьево» были отменены около ста внутренних и международных рейсов.

Ответственность за взлом взяли на себя группы хакеров Silent Crow и белорусские «Киберпартизаны». Они утверждают, что получили доступ к переписке всех сотрудников компании и базе данных всех пассажиров «Аэрофлота», которые они могут опубликовать.

О «сбое» в работе информационных систем «Аэрофлота» пресс-служба авиакомпании сообщила утром понедельника. В результате были отменены 54 парных рейса (туда и обратно) с вылетом из московского хаба авиакомпании, аэропорта «Шереметьево», среди них рейсы в Минск, Ереван, Астану, Петербург, Сочи, Казань, Минводы, Калининград и др.

Из-за скопления пассажиров отмененных рейсов в аэропорту возникли очереди, компания попросила пассажиров забрать сданный ранее багаж и покинуть аэропорт «во избежание образования скоплений».

Вскоре Генпрокуратура сообщила о возбуждении уголовного дела по статье «Неправомерный доступ к компьютерной информации», назвав причиной сбоя хакерскую атаку.

Ответственность за нее взяли на себя две группы хакеров, Silent Crow и белорусские «Киберпартизаны BY», которые связали свои действия с войной России против Украины.

В заявлении, опубликованном в телеграм-канале Silent Crow, хакеры утверждают, что в результате взлома «была полностью скомпрометирована и уничтожена внутренняя IT-инфраструктура "Аэрофлота"».

«На протяжении года мы находились внутри их корпоративной сети… Нам удалось: получить и выгрузить полный массив баз данных истории перелетов; скомпрометировать все критические корпоративные системы; получить контроль над персональными компьютерами сотрудников, включая высшее руководство; cкопировать данные с серверов прослушки», — заявили Silent Crow.

Общий объем полученной ими информации они оценили в 22 терабайта, количество уничтоженных серверов — в 7000.

«Все эти ресурсы теперь недоступны или уничтожены, восстановление будет требовать, возможно, десятки миллионов долларов. Ущерб — стратегический», — заявили хакеры. Свои заявление они сопроводили словами поддержки Украины и белорусской оппозиции.

Они не предоставили подтверждения этой информации. Публикация «Киберпартизан» сопровождается публикациями скриншотов из баз данных и картой серверов.

Также Silent Crow в своем заявлении пообещали, что в ближайшее время планируют обнародовать часть полученных данных. Русская служба Би-би-си задала вопрос о планах обнародования данных из базы перелетов представителю «Киберпартизан», но, по его словам, эти данные они пока публиковать не собираются.

«Аэрофлот» — крупнейшая авиационная группа России. В нее входят авиакомпании «Аэрофлот», «Россия» и «Победа» (при этом «Россия» и «Победа» не сообщали об отмене своих рейсов в понедельник). В 2024 году доля группы на российском рынке авиаперевозок составила 42,3%, сообщал «Коммерсант», только внутренними рейсами компания в 2024 году перевезла 55,3 млн человек, следовало из ее отчета.

Ранее Silent Crow брали на себя ответственность за масштабные кибератаки, в том числе на базы данных Росреестра и «Ростелекома», компания тогда назвала произошедшее «утечкой со стороны подрядчика», писал РБК.

«Киберпартизаны», в свою очередь, сообщали, что взломали белорусский госрегистр недвижимости, паспортную систему и сайт КГБ Беларуси, откуда они скопировали базу сообщений информаторов и предложения иностранцев о сотрудничестве за девять лет.

Причины и последствия

Одна из возможных причин [взлома] — недостаточно сильный контроль доступа и внутренняя безопасность, рассказал изданию Frank Media Алексей Козлов, ведущий аналитик компании «Спикател», работающей в области информационной безопасности. По его словам, речь идет, в частности, о мониторинге действий инсайдеров: «Это могло позволить атакующим оставаться незаметными месяцами». Капитальное восстановление IT-структуры может занять несколько месяцев, может быть, год, полагает он

«Полное переделывание инфраструктуры может занять некоторое время, к примеру, около полугода», — согласен с этой оценкой IT-эксперт Александр Исавнин, с которым поговорил телеграм-канал «Осторожно, новости». Он обращает внимание, что компания в какой-то форме смогла возобновить работу уже через несколько часов после сбоя, что ставит под вопрос заявленный хакерами критический масштаб разрушения IT-инфраструктуры авиаперевозчика.

«Успешное проникновение во многом стало возможно благодаря тому, что некоторые сотрудники компании пренебрегают элементарной безопасностью паролей. Так, гендиректор "Аэрофлота" Сергей Александровский не менял пароль аж с 2022 года, — утверждают «Киберпартизаны». — В сети используются [устаревшие] Windows XP и 2003, что привело к компрометации всей их инфраструктуры».

По оценкам Козлова, ущерб от взлома может достичь 10 млн — 15 млн долларов, куда входят расходы на восстановление IT-инфраструктуры плюс издержки, связанные с задержками рейсов, утратой данных клиентов, потерей доверия и штрафами.

Авиакомпания не комментировала эти заявления и не обнародовала приблизительных оценок ущерба.

Во второй половине дня, как следовало из информации на онлайн-табло, «Аэрофлот» во многом вернулся к графику вылетов своих рейсов из «Шереметьево». 206 рейсов «Аэрофлота» из запланированных на понедельник 260-ти готовятся к выполнению, сообщил днем российский Минтранс и подтвердил авиаперевозчик.

Однако о начале возврата денег за билеты или их обмене на другие даты пресс-служба «Аэрофлота» пока не сообщала. Возможность возврата и обмена билетов связана с восстановлением работоспособности одной из части IT-инфраструктуры, сообщала авиакомпания ранее.

Представитель Кремля Дмитрий Песков назвал произошедшее с «Аэрофлотом» «тревожным». «Хакерская угроза — это угроза, которая сохраняется для всех крупных компаний, оказывающих услуги населению», — заявил он.

Также в понедельник о проблемах с доступом к сайту сообщил подмосковный аэропорт «Жуковский». Там проблемы с доступом объяснили проблемами провайдера связи, отметив, что «внутренние информационные системы аэропорта исправны, рейсы принимаются и отправляются в соответствии с расписанием».

Российские аэропорты, в том числе «Шереметьево», в последние месяцы регулярно и неоднократно отменяли и переносили авиарейсы из-за атак украинских беспилотников, но IT-инфраструктура при этом функционировала в обычном режиме.