Авиакомпания столкнулась в июле 2025 года с крупнейший взломом в своей истории. Атака полностью вывела из строя IT-инфраструктуру перевозчика, привела к отмене более сотни рейсов и многомиллионным убыткам, однако «Аэрофлот» публично назвал случившееся лишь «сбоем». Издание The Bell выяснило детали атаки.
Авиакомпания столкнулась в июле 2025 года с крупнейший взломом в своей истории. Атака полностью вывела из строя IT-инфраструктуру перевозчика, привела к отмене более сотни рейсов и многомиллионным убыткам, однако «Аэрофлот» публично назвал случившееся лишь «сбоем». Издание The Bell выяснило детали атаки.
По данным источников, около 4:30 утра 28 июля в сети «Аэрофлота» начали «гаснуть» узлы: рабочие станции принудительно перезагружались и выходили из строя, пропадал доступ к корпоративному домену, перестали работать почта, Skype for Business, VPN и несколько ключевых систем, включая SAP ERP и корпоративный документооборот.
Хакеры, получив права администратора, развернули через домен групповую политику, которая по расписанию запускала очистку данных на рабочих станциях. Когда стало ясно, что стирание инфраструктуры идет в реальном времени, в офисах авиакомпании сначала отключили каналы связи, а затем начали физически обесточивать этажи, чтобы остановить распространение атаки.
Ответственность за киберудар взяли на себя украинские и беларусские хакеры. Они заявили о полном доступе к корпоративной сети «Аэрофлота», компрометации критических систем, контроле над компьютерами сотрудников, включая высшее руководство, а также о копировании записей телефонных разговоров, данных о перелетах топ-менеджеров и медицинских данных персонала.
В подтверждение были опубликованы скриншоты из внутренней сети, фрагменты внутренних документов и архив с персональными данными, однако часть заявлений, по оценкам специалистов, была заметно преувеличена.
На операционном уровне последствия атаки были немедленными. В день инцидента «Аэрофлот» отменил 108 рейсов, более 80 рейсов были задержаны только в Шереметьево. В условиях недоступности корпоративных систем регистрация и управление расписанием частично перешли в ручной режим.
Сотрудники использовали ноутбуки с доступом к системе бронирования «Сирена-Трэвел», маршруты пересчитывали в Excel, пилотам рассылали индивидуальные задания. Прямой ущерб от отмен рейсов оценивался не менее чем в 260 миллионов рублей, общий — в десятки миллионов долларов. При этом для пассажиров и рядовых сотрудников атака официально была обозначена как «сбой», без указания причин.
Восстановление инфраструктуры заняло несколько дней и недель. Корпоративный домен подняли из резервной копии, при этом приходилось учитывать риск того, что более ранние образы уже содержат вредоносные задания. Рабочие станции восстанавливали поштучно: заменяли диски, переустанавливали операционную систему, заново подключали к домену. Часть операций авиакомпания продолжала вести в полуавтоматическом и ручном режиме еще месяцы после атаки.
Расследование показало, что подготовка удара началась задолго до дня Х. Еще в январе 2025 года специалисты одного из подрядчиков по информационной безопасности обнаружили подозрительную активность в сети «Аэрофлота» и в инфраструктуре его IT-подрядчика «Бакка Софт», занимавшегося мобильными и веб-приложениями авиакомпании.
По словам собеседников издания, подрядчика взломали и через его удаленный доступ начали движение в сторону корпоративной сети перевозчика. Реагированием занимался другой подрядчик — компания «Бастион», злоумышленников тогда формально «выбили», но инфраструктуру подрядчика, судя по дальнейшим событиям, полностью не зачистили.
Весной 2025 года хакеры вернулись в сеть через ту же точку и действовали гораздо осторожнее. Они избегали домена, почтовых и антивирусных серверов, которые мониторились службами ИБ, и продвигались через прикладные узлы и учетные записи, пользуясь отсутствием двухфакторной аутентификации на терминальных серверах и общим доступом подрядчиков к инфраструктуре.
Дополнительным фактором риска стали слабые пароли: беларусские хакеры заявили, что пароль генерального директора не менялся с 2022 года, что косвенно подтверждают собеседники в компании, ссылаясь на отмену для него правила обязательной смены пароля раз в три месяца.
Система киберзащиты «Аэрофлота» на момент атаки была разделена между несколькими вендорами: «Бастионом», «Соларом», BI.ZONE и другими. Внутри самой авиакомпании функции ИТ и информационной безопасности находились в разных вертикалях, с отдельными бюджетами и подрядчиками, что, по оценке экспертов, осложняло координацию и ответственность. Мониторинг покрывал лишь несколько процентов инфраструктуры перевозчика, что оставляло большие зоны «слепыми».
Уголовное дело по статье о неправомерном доступе к компьютерной информации возбудила Генпрокуратура, расследование ведут Управление на транспорте МВД и ФСБ. Параллельно проверяется возможная халатность ответственных лиц.
На допрос вызывали директора департамента информационной безопасности «Аэрофлота» и представителей ключевых подрядчиков. По данным источников, применение более жестких норм, связанных с критической информационной инфраструктурой, в отношении авиакомпании признали нецелесообразным, однако вопрос персональной ответственности за допущенные уязвимости остается открытым.
При этом ФСБ не распространяет технические детали атаки и индикаторы компрометации, что, по словам участников рынка, лишает другие российские компании возможности оперативно учитывать этот опыт. Эксперты отмечают, что атака на «Аэрофлот» вписывается в более широкий тренд ударов через подрядчиков: ранее через внешние компании уже взламывались инфраструктуры Московского метрополитена и «Ростелекома».
На этом фоне многие специалисты говорят о системной уязвимости крупных российских структур, завязанных на сложные цепочки поставщиков, и о том, что публично становится известно лишь о немногих из подобных инцидентов.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.