Як узламалі «Аэрафлот»: з'явіліся новыя дэталі атакі ўкраінскіх і беларускіх хакераў

Паводле крыніц, каля 4:30 раніцы 28 ліпеня ў сетцы «Аэрафлота» пачалі «гаснуць» вузлы: рабочыя станцыі прымусова перазагружаліся і выходзілі з ладу, знікаў доступ да карпаратыўнага дамена, перасталі працаваць пошта, Skype for Business, VPN і некалькі ключавых сістэм, уключаючы SAP ERP і карпаратыўны дакументазварот.

Хакеры, атрымаўшы правы адміністратара, разгарнулі праз дамен групавую палітыку, якая па раскладзе запускала ачыстку даных на рабочых станцыях. Калі стала ясна, што сціранне інфраструктуры ідзе ў рэальным часе, у офісах авіякампаніі спачатку адключылі каналы сувязі, а затым пачалі фізічна абясточваць паверхі, каб спыніць распаўсюджванне атакі.

Адказнасць за кібератаку ўзялі на сябе ўкраінскія і беларускія хакеры. Яны заявілі пра поўны доступ да карпаратыўнай сеткі «Аэрафлота», кампраметацыю крытычных сістэм, кантроль над камп’ютарамі супрацоўнікаў, уключаючы вышэйшае кіраўніцтва, а таксама пра капіраванне запісаў тэлефонных размоў, даных аб палётах топ-менеджараў і медыцынскіх даных персаналу.

У пацверджанне былі апублікаваны скрыншоты з унутранай сеткі, фрагменты ўнутраных дакументаў і архіў з персанальнымі данымі, аднак частка заяў, па ацэнках спецыялістаў, была прыкметна перабольшана.

На аперацыйным узроўні наступствы атакі былі неадкладнымі. У дзень інцыдэнту «Аэрафлот» адмяніў 108 рэйсаў, больш за 80 рэйсаў былі затрыманы толькі ў Шарамеццеве. Ва ўмовах недаступнасці карпаратыўных сістэм рэгістрацыя і кіраванне раскладам часткова перайшлі ў ручны рэжым.

Супрацоўнікі выкарыстоўвалі ноўтбукі з доступам да сістэмы браніравання «Сірэна-Трэвел», маршруты пералічвалі ў Excel, пілотам рассылалі індывідуальныя заданні. Прамы ўрон ад адмен рэйсаў ацэньваўся не менш чым у 260 мільёнаў рублёў, агульны — у дзясяткі мільёнаў даляраў. Пры гэтым для пасажыраў і шараговых супрацоўнікаў атака афіцыйна была пазначана як «збой», без указання прычын.

Аднаўленне інфраструктуры заняло некалькі дзён і тыдняў. Карпаратыўны дамен паднялі з рэзервовай копіі, пры гэтым даводзілася ўлічваць рызыку таго, што больш раннія вобразы ўжо ўтрымліваюць шкоднасныя заданні. Рабочыя станцыі аднаўлялі паштучна: замянялі дыскі, пераўсталёўвалі аперацыйную сістэму, нанова падключалі да дамена. Частку аперацый авіякампанія працягвала весці ў паўаўтаматычным і ручным рэжыме яшчэ месяцы пасля атакі.

Расследаванне паказала, што падрыхтоўка ўдару пачалася задоўга да дня Х. Яшчэ ў студзені 2025 года спецыялісты аднаго з падрадчыкаў па інфармацыйнай бяспецы выявілі падазроную актыўнасць у сетцы «Аэрафлота» і ў інфраструктуры яго IT-падрадчыка «Бакка Софт», які займаўся мабільнымі і вэб-аплікацыямі авіякампаніі.

Паводле слоў суразмоўцаў выдання, падрадчыка ўзламалі і праз яго аддалены доступ пачалі рух у бок карпаратыўнай сеткі перавозчыка. Рэагаваннем займаўся іншы падрадчык — кампанія «Бастыён», зламыснікаў тады фармальна «выбілі», але інфраструктуру падрадчыка, мяркуючы па далейшых падзеях, цалкам не ачысцілі.

Вясной 2025 года хакеры вярнуліся ў сетку праз тую ж кропку і дзейнічалі значна больш асцярожна. Яны пазбягалі дамена, паштовых і антывірусных сервераў, якія маніторыліся службамі ІБ, і прасоўваліся праз прыкладныя вузлы і ўліковыя запісы, карыстаючыся адсутнасцю двухфактарнай аўтэнтыфікацыі на тэрмінальных серверах і агульным доступам падрадчыкаў да інфраструктуры.

Дадатковым фактарам рызыкі сталі слабыя паролі: беларускія хакеры заявілі, што пароль генеральнага дырэктара не мяняўся з 2022 года, што ўскосна пацвярджаюць суразмоўцы ў кампаніі, спасылаючыся на адмену для яго правіла абавязковай змены пароля раз у тры месяцы.

Сістэма кібербяспекі «Аэрафлота» на момант атакі была падзелена паміж некалькімі вендарамі: «Бастыёнам», «Соларам», BI.ZONE і іншымі. Унутры самой авіякампаніі функцыі IT і інфармацыйнай бяспекі знаходзіліся ў розных вертыкалях, з асобнымі бюджэтамі і падрадчыкамі, што, па ацэнцы экспертаў, ускладняла каардынацыю і адказнасць. Маніторынг пакрываў толькі некалькі працэнтаў інфраструктуры перавозчыка, што пакідала вялікія зоны «сляпымі».

Крымінальную справу па артыкуле аб неправамерным доступе да камп’ютарнай інфармацыі ўзбудзіла Генпракуратура, расследаванне вядуць Упраўленне на транспарце МУС і ФСБ. Паралельна правяраецца магчымая нядбайнасць адказных асоб.

На допыт выклікалі дырэктара дэпартамента інфармацыйнай бяспекі «Аэрафлота» і прадстаўнікоў ключавых падрадчыкаў. Паводле дадзеных крыніц, прымяненне больш жорсткіх нормаў, звязаных з крытычнай інфармацыйнай інфраструктурай, у дачыненні да авіякампаніі прызналі немэтазгодным, аднак пытанне персанальнай адказнасці за дапушчаныя ўразлівасці застаецца адкрытым.

Пры гэтым ФСБ не распаўсюджвае тэхнічныя дэталі атакі і індыкатары кампраметацыі, што, паводле ўдзельнікаў рынку, пазбаўляе іншыя расійскія кампаніі магчымасці аператыўна ўлічваць гэты досвед. Эксперты адзначаюць, што атака на «Аэрафлот» упісваецца ў больш шырокі трэнд удараў праз падрадчыкаў: раней праз знешнія кампаніі ўжо ўзломваліся інфраструктуры Маскоўскага метрапалітэна і «Растэлекома».

На гэтым фоне многія спецыялісты кажуць аб сістэмнай уразлівасці буйных расійскіх структур, завязаных на складаныя ланцугі пастаўшчыкоў, і аб тым, што публічна становіцца вядома толькі аб нямногіх з падобных інцыдэнтаў.