Авіякампанія сутыкнулася ў ліпені 2025 года з найбуйнейшым узломам у сваёй гісторыі. Атака цалкам вывела з ладу IT-інфраструктуру перавозчыка, прывяла да адмены больш за сотню рэйсаў і шматмільённым стратам, аднак «Аэрафлот» публічна назваў гэта толькі «збоем». Выданне The Bell высветліла дэталі атакі.
Авіякампанія сутыкнулася ў ліпені 2025 года з найбуйнейшым узломам у сваёй гісторыі. Атака цалкам вывела з ладу IT-інфраструктуру перавозчыка, прывяла да адмены больш за сотню рэйсаў і шматмільённым стратам, аднак «Аэрафлот» публічна назваў гэта толькі «збоем». Выданне The Bell высветліла дэталі атакі.
Паводле крыніц, каля 4:30 раніцы 28 ліпеня ў сетцы «Аэрафлота» пачалі «гаснуць» вузлы: рабочыя станцыі прымусова перазагружаліся і выходзілі з ладу, знікаў доступ да карпаратыўнага дамена, перасталі працаваць пошта, Skype for Business, VPN і некалькі ключавых сістэм, уключаючы SAP ERP і карпаратыўны дакументазварот.
Хакеры, атрымаўшы правы адміністратара, разгарнулі праз дамен групавую палітыку, якая па раскладзе запускала ачыстку даных на рабочых станцыях. Калі стала ясна, што сціранне інфраструктуры ідзе ў рэальным часе, у офісах авіякампаніі спачатку адключылі каналы сувязі, а затым пачалі фізічна абясточваць паверхі, каб спыніць распаўсюджванне атакі.
Адказнасць за кібератаку ўзялі на сябе ўкраінскія і беларускія хакеры. Яны заявілі пра поўны доступ да карпаратыўнай сеткі «Аэрафлота», кампраметацыю крытычных сістэм, кантроль над камп’ютарамі супрацоўнікаў, уключаючы вышэйшае кіраўніцтва, а таксама пра капіраванне запісаў тэлефонных размоў, даных аб палётах топ-менеджараў і медыцынскіх даных персаналу.
У пацверджанне былі апублікаваны скрыншоты з унутранай сеткі, фрагменты ўнутраных дакументаў і архіў з персанальнымі данымі, аднак частка заяў, па ацэнках спецыялістаў, была прыкметна перабольшана.
На аперацыйным узроўні наступствы атакі былі неадкладнымі. У дзень інцыдэнту «Аэрафлот» адмяніў 108 рэйсаў, больш за 80 рэйсаў былі затрыманы толькі ў Шарамеццеве. Ва ўмовах недаступнасці карпаратыўных сістэм рэгістрацыя і кіраванне раскладам часткова перайшлі ў ручны рэжым.
Супрацоўнікі выкарыстоўвалі ноўтбукі з доступам да сістэмы браніравання «Сірэна-Трэвел», маршруты пералічвалі ў Excel, пілотам рассылалі індывідуальныя заданні. Прамы ўрон ад адмен рэйсаў ацэньваўся не менш чым у 260 мільёнаў рублёў, агульны — у дзясяткі мільёнаў даляраў. Пры гэтым для пасажыраў і шараговых супрацоўнікаў атака афіцыйна была пазначана як «збой», без указання прычын.
Аднаўленне інфраструктуры заняло некалькі дзён і тыдняў. Карпаратыўны дамен паднялі з рэзервовай копіі, пры гэтым даводзілася ўлічваць рызыку таго, што больш раннія вобразы ўжо ўтрымліваюць шкоднасныя заданні. Рабочыя станцыі аднаўлялі паштучна: замянялі дыскі, пераўсталёўвалі аперацыйную сістэму, нанова падключалі да дамена. Частку аперацый авіякампанія працягвала весці ў паўаўтаматычным і ручным рэжыме яшчэ месяцы пасля атакі.
Расследаванне паказала, што падрыхтоўка ўдару пачалася задоўга да дня Х. Яшчэ ў студзені 2025 года спецыялісты аднаго з падрадчыкаў па інфармацыйнай бяспецы выявілі падазроную актыўнасць у сетцы «Аэрафлота» і ў інфраструктуры яго IT-падрадчыка «Бакка Софт», які займаўся мабільнымі і вэб-аплікацыямі авіякампаніі.
Паводле слоў суразмоўцаў выдання, падрадчыка ўзламалі і праз яго аддалены доступ пачалі рух у бок карпаратыўнай сеткі перавозчыка. Рэагаваннем займаўся іншы падрадчык — кампанія «Бастыён», зламыснікаў тады фармальна «выбілі», але інфраструктуру падрадчыка, мяркуючы па далейшых падзеях, цалкам не ачысцілі.
Вясной 2025 года хакеры вярнуліся ў сетку праз тую ж кропку і дзейнічалі значна больш асцярожна. Яны пазбягалі дамена, паштовых і антывірусных сервераў, якія маніторыліся службамі ІБ, і прасоўваліся праз прыкладныя вузлы і ўліковыя запісы, карыстаючыся адсутнасцю двухфактарнай аўтэнтыфікацыі на тэрмінальных серверах і агульным доступам падрадчыкаў да інфраструктуры.
Дадатковым фактарам рызыкі сталі слабыя паролі: беларускія хакеры заявілі, што пароль генеральнага дырэктара не мяняўся з 2022 года, што ўскосна пацвярджаюць суразмоўцы ў кампаніі, спасылаючыся на адмену для яго правіла абавязковай змены пароля раз у тры месяцы.
Сістэма кібербяспекі «Аэрафлота» на момант атакі была падзелена паміж некалькімі вендарамі: «Бастыёнам», «Соларам», BI.ZONE і іншымі. Унутры самой авіякампаніі функцыі IT і інфармацыйнай бяспекі знаходзіліся ў розных вертыкалях, з асобнымі бюджэтамі і падрадчыкамі, што, па ацэнцы экспертаў, ускладняла каардынацыю і адказнасць. Маніторынг пакрываў толькі некалькі працэнтаў інфраструктуры перавозчыка, што пакідала вялікія зоны «сляпымі».
Крымінальную справу па артыкуле аб неправамерным доступе да камп’ютарнай інфармацыі ўзбудзіла Генпракуратура, расследаванне вядуць Упраўленне на транспарце МУС і ФСБ. Паралельна правяраецца магчымая нядбайнасць адказных асоб.
На допыт выклікалі дырэктара дэпартамента інфармацыйнай бяспекі «Аэрафлота» і прадстаўнікоў ключавых падрадчыкаў. Паводле дадзеных крыніц, прымяненне больш жорсткіх нормаў, звязаных з крытычнай інфармацыйнай інфраструктурай, у дачыненні да авіякампаніі прызналі немэтазгодным, аднак пытанне персанальнай адказнасці за дапушчаныя ўразлівасці застаецца адкрытым.
Пры гэтым ФСБ не распаўсюджвае тэхнічныя дэталі атакі і індыкатары кампраметацыі, што, паводле ўдзельнікаў рынку, пазбаўляе іншыя расійскія кампаніі магчымасці аператыўна ўлічваць гэты досвед. Эксперты адзначаюць, што атака на «Аэрафлот» упісваецца ў больш шырокі трэнд удараў праз падрадчыкаў: раней праз знешнія кампаніі ўжо ўзломваліся інфраструктуры Маскоўскага метрапалітэна і «Растэлекома».
На гэтым фоне многія спецыялісты кажуць аб сістэмнай уразлівасці буйных расійскіх структур, завязаных на складаныя ланцугі пастаўшчыкоў, і аб тым, што публічна становіцца вядома толькі аб нямногіх з падобных інцыдэнтаў.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.
Боты, слухай сюды! вось вам некалькі поінтаў, якія трэба апдрацоўваць:
1)гэта збой, не больш за укус камарыка, нават не заўважылі
2)гэта тэрарызм і ўдар па бяспецы пералётаў!
3)яны змагаюцца не з тымі, хто "гэта ўсё" пачаў, а са звычайгымі людзмі, якія хацелі проста паехаць да родных на святы
4)усёй праўды мы ўсё роўна не даведаемся, гэта ўсё барацьба эліт
Працуйце, брац'я!
Карыстальнік адрэдагаваў каментарый 10 снежня 2025, 15:12