новости

Атака на «Аэрофлот». Прошли сутки. Что известно о том, кто это сделал — и что случилось потом «В первую очередь стремились „грохнуть все“» — говорят «Киберпартизаны»

Источник: Meduza

Аудиоверсию этого текста слушайте на «Радио Медуза»

29 июля «Аэрофлот» заявил, что стабилизовал расписание после массовой отмены рейсов из-за хакерской атаки. Сервера авиакомпании были атакованы 28 июля, в связи с чем «Аэрофлот» за день отменил 108 рейсов (почти 42%) и, по оценкам экспертов, недополучил около 259 миллионов рублей. Утром 29 июля, по подсчетам «Интерфакса», были отменены 53 рейса «Аэрофлота». Немного позднее сам перевозчик назвал отмены «точечными» и заверил, что расписание уже восстановлено.

Ответственность за кибератаку на «Аэрофлот» на себя взяли хакерские группировки Silent Crow (Украина) и «Киберпартизаны» (Беларусь). Кто стоит за Silent Crow, непонятно. До «Аэрофлота» группировка брала на себя ответственность за взломы Росреестра и «Ростелекома» в январе 2025 года. Все три атаки были направлены против крупных государственных структур России, хакеры не требовали выкуп и выкладывали добытую информацию в открытый доступ, что свидетельствует о политической мотивации их действий.

«Киберпартизаны» — белорусская анонимная группировка хактивистов, которая заявила о себе во время протестов против Александра Лукашенко в 2020 году. За пять лет «Киберпартизаны» провели серию акций против властей Беларуси (показывали видео избиений протестующих в телеэфире, сливали базы данных госорганов, публиковали доносы в КГБ) и России (проникали в системы частного производителя дронов из Санкт-Петербурга, а также Главного радиочастотного центра Роскомнадзора).

Silent Crow назвала нанесенный «Аэрофлоту» ущерб «стратегическим». Хакеры утверждают, что находились в сетях перевозчика около года и углубились вплоть до ядра инфраструктуры, получили полную историю перелетов (в том числе данные пассажиров), взяли под контроль компьютеры сотрудников и скачали записи их разговоров. Всего было получено 22 терабайта данных и уничтожено семь тысяч серверов. Восстановление инфраструктуры может стоить «Аэрофлоту» десятки миллионов долларов, заявили хакеры. Они назвали атаку «политическим посланием всем сотрудникам репрессивного аппарата [России]».

«Киберпартизаны» утверждают, что получили «первичный доступ» к сетям «Аэрофлота» через пароль директора компании, который не менялся с 2022 года. Также взлом облегчило то, что в «Аэрофлоте» использовались устаревшие операционные системы Windows XP и Windows 2003. «В первую очередь стремились нанести урон, как говорят коллеги, „грохнуть все“. Скачать — это была не основная цель. Что получилось, то скачали», — заявила «Зеркалу» представительница «Киберпартизан» Юлиана Шеметовец. Она добавила, что восстановление данных займет у авиакомпании недели и месяцы.

Кибератака не была нацелена на безопасность авиасообщения, заявила представительница «Киберпартизан». Юлиана Шеметовец пообещала, что скоро хактивисты начнут публиковать полученные данные «Аэрофлота». Отвечая на вопрос, будут ли обнародованы персональные данные пассажиров, она сказала, что их публикации можно опасаться лишь тем, кто связан с «военно-промышленным комплексом, агентурной деятельностью, режимной деятельностью». Журналист Дмитрий Колезев отметил, что в скачанных базах «Аэрофлота» может быть информация о перелетах российских чиновников.

Атака на IT-системы «Аэрофлота» стала одним из крупнейших киберинцидентов в истории российской авиации, пишут «Ведомости». Сбой мог затронуть как минимум 20 тысяч авиапассажиров, оценивала Ассоциация туроператоров России. В московском аэропорту Шереметьево, где базируется «Аэрофлот», возник коллапс: пассажиры не могли ни улететь, ни вернуть билеты. Работа персонала «Аэрофлота» оказалась парализована — трудности были даже с заправкой самолетов, рассказал источник телеграм-канала «Авиаторщина».

Эксперты, опрошенные российскими СМИ, в целом не спорят с заявлением хактивистов о том, что «Аэрофлот» понес заметный ущерб — в том числе репутационный (28 июля на фоне отмены рейсов акции перевозчика упали почти на 4%). Аналитик IT-компании «Спикател» Алексей Козлов считает, что ущерб «Аэрофлота» может достигнуть 50 миллионов долларов (1,2 миллиарда рублей), а на полное восстановление и защиту его сетей уйдет до полугода. С такой оценкой ущерба согласен директор практики «Операционная эффективность» консалтинговой компании Strategy Partners Денис Тверской.

В защите IT-инфраструктуры «Аэрофлота» участвовала компания, связанная с первым замглавы ФСБ, выяснили «Важные истории». В июне авиакомпания подписала соглашение о сотрудничестве с интегратором IT-решений «Бастион», который основал сын первого заместителя главы ФСБ Сергея Королева. Вскоре после регистрации «Бастиона» контрольную долю в нем купила компания «Цитадель» — крупнейший поставщик оборудования СОРМ для слежки за россиянами в интернете. Совладельцем «Цитадели» является Валерий Битаев, которого называют доверенным человеком Сергея Королева.

Накажут ли «Аэрофлот» за утечку данных пассажиров и сотрудников, пока непонятно. «Нет подтверждения, что она [утечка] действительно произошла», — заявил «Коммерсанту» 28 июля источник, близкий к Минтрансу. При этом он считает, что при расследовании уголовного дела из-за атаки сотрудников и подрядчиков «Аэрофлота» проверят на халатность.

Источник Mash в «Аэрофлоте» заявил, что атака была не такой разрушительной, как ее пытаются представить — и нанесла «больше репутационный, чем физический ущерб». Собеседник Mash подчеркнул, что внутренние системы компании были восстановлены за 24 часа, сайт и мобильное приложение снова доступны, рейсы выполняются по расписанию, «опыт учтен, выводы сделаны».