«Аэрофлоту» пришлось отменить или задержать 28 июля 42% рейсов из-за мощной кибератаки, ответственность за которую взяли на себя хакерская группа Silent Crow и белорусская «Киберпартизаны BY». С проблемами столкнулось не меньше 20 000 человек. Эксперты оценивают ущерб в диапазоне $10–50 млн. Генеральная прокуратура подтвердила взлом компьютерных систем и возбудила уголовное дело. Виноват ли «Аэрофлот»?
28 июля десятки рейсов авиакомпании «Аэрофлот» были отменены из-за мощной кибератаки, ответственность за которую взяли на себя хакерская группа Silent Crow и белорусская «Киберпартизаны BY». В заявлении от их имени говорится, что совместная операция связана с ситуацией на Украине.
Что произошло
По данным «Аэрофлота», Ассоциация туроператоров (АТОР), всего на понедельник, 28 июля, было запланировано 260 рейсов по России и за рубеж. 108 рейсов, или почти 42%, были отменены. Это затронуло как минимум 20 000 пассажиров. Причиной сбоя информационных систем «Аэрофлота» является хакерская атака, возбуждено уголовное дело о неправомерном доступе к компьютерной информации, Генеральная прокуратура России.Пресс-секретарь президента Дмитрий Песков , что «хакерская угроза — это угроза, которая сохраняется для всех крупных компаний, оказывающих услуги населению».
Как хакеры, в течение всего предыдущего года были скомпрометированы все критически важные корпоративные системы «Аэрофлота», включая базы данных истории перелетов и CRM. Как утверждают взломщики, они получили доступ к компьютерам сотрудников, включая топ-менеджеров, а также к аудиозаписям переговоров, системам слежения и внутренней переписке и уже опубликовали скриншоты.
Из-за сбоя в информационных системах «Аэрофлот» отменил десятки рейсов. Компания просила пассажиров отмененных рейсов, уже зарегистрировавших багаж, забрать его в зале выдачи и покинуть аэропорт. Около 19:00 представитель Росавиации Артем Кореняко в эфир в Telegram-канале ведомства из терминала B аэропорта Шереметьево, из которого вылетают региональные рейсы. Он прошел по зоне вылета и зоне регистрации, показывая, что «пассажиры спокойны». В это время из 27 рейсов на табло пять было и 13 задержано.
В пресс-службе Шереметьево сообщили, что «в связи со сбоем информационной системы авиакомпании «Аэрофлот» произошли изменения в расписании авиакомпаний «Аэрофлот» и «Россия». Авиакомпании отменили либо перенесли часть своих рейсов». Аэропорт предложил пассажирам отмененных рейсов «покинуть чистую зону перед вылетом... Сделать возврат или поменять билеты следует дистанционно». По словам представителя Шереметьево, во всех терминалах организовано круглосуточное информирование (стойки информации, QR- коды «Узнай свой рейс» с данными на русском и английском языках, бесплатная питьевая вода, круглосуточно и бесплатно работают комнаты матери и ребенка, детские зоны, 24/7 и бесплатно отдельные залы принимают пассажиров с ограниченными возможностями здоровья. «МАШ [Международный аэропорт Шереметьево] во взаимодействии с авиаперевозчиками предпринимает меры по стабилизации ситуации», — отметили в пресс-службе аэропорта Шереметьево. «Аэрофлот» на запрос не ответил.
Ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов сообщил, что, «согласно заявлениям группировок Silent Crow и «Киберпартизаны BY», они якобы находились внутри IT‑инфраструктуры «Аэрофлота» около года, полностью ее скомпрометировав и уничтожив примерно 7000 серверов, включая базы данных, CRM, Exchange и другие критически важные сервисы».
Кто такие Silent Crow
Это, , группа проукраинских хактивистов, впервые заявившая о себе 7 января 2025 года, она публикует данные российских компаний. 9 января 2025 года Telegram-канал группировки заблокировали, в результате чего они «переехали» в новый канал, который был создан еще 28 февраля 2022 года и назывался Cyber Legions. Cyber Legions ранее атаковала сеть российских аптек, сервис доставки, IT-компанию. С момента своего появления группировка заявила как минимум о восьми атаках на российские компании из таких сфер, как здравоохранение, финансы, информационные технологии, телекоммуникации, автомобильная промышленность и государственный сектор.По старой «рыбе»
Генеральный директор консалтинговой компании Friendly Avia Support Александр Ланецкий предполагает, что «у «Аэрофлота» возникла большая проблема, и ее реальный объем будет понятен в течение ближайших двух-трех дней». Возникает вопрос, почему все это стало возможным, рассуждает он. До 2022 года «Аэрофлот» был одной из самых передовых компаний в мире, использующих новейшие западные IT-технологии, говорит эксперт, а после начала «спецоперации»* России на Украине западные компании объявили, что прекращают обслуживание своего ПО. «Задачи информатизации российских авиакомпаний перешли к местным фирмам, которые, как я понимаю, были основаны местными менеджерами — выходцами из западных, и насколько они компетентны, а их программы защищены, покажет расследование», — считает Ланецкий.В октябре 2024 года генеральный директор «Аэрофлота» Сергей Александровский премьер-министру Михаилу Мишустину, что в рамках начавшейся в 2022 году программы стратегии цифровой трансформации компании доля затрат на отечественное ПО составляла 33%. «В 2023 году мы достигли величины в 90%. В 2024 году мы выйдем на цифру 95%, — заявлял Александровский. — В 2025 году мы планируем уже завершить цифровую трансформацию и полностью перейти на отечественное ПО».
К чему привела трансформация? «Все, что могу сказать на текущий момент, — пока ничего непонятно, — сказал Forbes действующий пилот «Аэрофлота», пожелавший остаться неизвестным. — Начальство оперативно организовало кризисную работу и поддержку экипажей, все расчеты на полет делаются по старой «рыбе», взлетно-посадочные характеристики считаются вручную по таблицам». Он говорит, что «в целом все делается без использования компьютерных технологий: по возможности берутся старые документы и на их основе считаются и делаются новые, некоторые документы пишутся от руки». По его словам, «когда приходишь на работу, если нет информации, два часа сидишь на связи на личном телефоне, потом снова отзваниваешься, нет ли указаний, и может быть другой рейс или отмена рейса, или едешь домой». По его словам, все рабочие группы в мессенджерах «шумят — что делать, как лететь, никто не знает, полетит ли вечером».
Бывший пилот «Аэрофлота», капитан Аirbus 320 Андрей Литвинов полагает, что истоки хакерской атаки следует искать в декабре 2024 года, когда после централизованной смены программного обеспечения у экипажей произошел крупный сбой, в компьютерах стала исчезать информация, и больше 100 летчиков написали об этом рапорты. «Тогда мы, летный состав, открыто говорили об этих проблемах в канале «Расследование катастроф» журналиста Игоря Зырянова, но нас никто не услышал. Хакеры заявляют, что уже год портили системы «Аэрофлота», — говорит Литвинов. — А тогда был первый звонок — из планшетов пилотов стали исчезать данные об аэродромах, теперь же произошли утечки данных всей компании». Сейчас работают экипажи, которые получили документы [на вылет] до сбоя, объясняет он, их немного, а компания столкнется с огромными убытками в валюте.
«Инсайдеры внутри компании»
Почему «Аэрофлот» пострадал? «Достаточно часто задействуются инсайдеры внутри компании, и потому специалистам по информационной безопасности необходимо не только обладать информацией о любой нелегитимной активности, но и фиксировать любое новое, нехарактерное ранее поведение кого-либо или чего-либо в сети, — сообщил директор по продуктам Servicepipe Михаил Хлебунов. — Какая бы у злоумышленников ни была тактика атаки, какой бы инструментарий они ни применяли, чаще всего все начинается со сканирования сети, и противостоять подобным целевыми атакам возможно, используя решения по анализу трафика, способные глубоко анализировать сеть, а также решения по защите от ботовых атак для того, чтобы отсекать любую злонамеренную автоматизацию».Хлебунов говорит, что не нашел информации о том, есть ли у «Аэрофлота» полноценный центр мониторинга или отдел кибербезопасности, и, судя по отсутствию вакансий SOC (Security Operations Center, структурное подразделение, отвечающее за оперативный мониторинг IT-среды и реагирование на киберинциденты), можно предположить, что либо он минимален, либо на него не выделяется должного бюджета, отмечает Хлебунов. «В таких условиях атакующие вполне могли оставаться незаметными длительное время», — считает эксперт.
Генеральный директор компании «Нейроинформ» Александр Дмитриев считает, что хакерам понадобился год работы. По его словам, в таком случае проводится разведка, обследование внешнего контура, чтобы выявить интересные активы, которые можно попробовать поломать. Затем изучается информация о компании, включая соцсети сотрудников, технологии, поставщики, информация по используемым системам, далее проводится идентификация уязвимых точек, продолжает он. После взлома внешнего периметра изучается внутренняя инфраструктура, и нужно прятаться от различных систем обнаружения, антивирусов и других препятствий, рассказывает Дмитриев. «В конце концов хакерам надо было скопировать нужную информацию, не спалившись», — говорит эксперт.
«Одна из возможных причин — недостаточно сильный контроль доступа и внутренняя безопасность, и речь прежде всего о мониторинге действий инсайдеров, сегментации сети и централизованных систем управления, — говорит ведущий аналитик ИБ «Спикател» Алексей Козлов. — Это могло позволить атакующим оставаться незаметными месяцами».
Масштаб бедствия
По мнению Хлебунова, ущерб оценить сложно: кроме прямых потерь из-за сбоев и восстановления инфраструктуры, есть серьезные косвенные последствия — падение доверия клиентов, отказ от услуг, а также возможные государственные санкции и штрафы, ведь «Аэрофлот» — стратегическая госкомпания с объектами критической информационной инфраструктуры (КИИ).Дмитриев считает, что полное восстановление после такой атаки может занять около года, поскольку нужно не только устранить ее последствия, но и нейтрализовать угрозу повторения: для этого надо будет найти системы удаленного администрирования, которые могли остаться внутри инфраструктуры, а также выяснить, не оставили ли злоумышленники какие-нибудь «зловреды», например внутри стационарных IP-телефонов.
Ведущий инженер CorpSoft24 Михаил Сергеев, анализируя последствия для пассажиров, упоминает задержку или отмену рейсов, утечку персональных данных, которые сначала могут быть проданы в даркнете, а потом попасть в свободный доступ.
Сколько стоит взлом
Козлов соглашается с заявлением хакеров, что восстановление инфраструктуры может потребовать «десятки миллионов долларов». «Учитывая задержки рейсов, утрату данных клиентов, потерю доверия и штрафы, ущерб в диапазоне $10–50 млн — реалистичный грубый ориентир, — говорит он. — Финансовый эффект от остановки продаж, затрат на восстановление, инцидент-ответ и возможные компенсации пассажирам также могут быстро нарастать, особенно если затронуты стратегически важные системы Sabre, Exchange и CRM».По его словам, сейчас APT-группировки готовят атаки месяцами, а то и годами — в них задействованы топовые эксперты, использующие весь спектр техник: от фишинга и эксплуатации уязвимостей до инсайдеров. «И в среднем восстановление после масштабной кибератаки, как мы знаем уже по ситуациям c другими крупными российскими компаниями, может занять от нескольких недель до шести месяцев, — говорит Козлов. — Один-два месяца уходят на восстановление критических систем, остальное — на настройку защиты, аудит, пересмотр процессов и возврат доверия клиентов, полная стабилизация может затянуться до года, если инфраструктура разрушена и резервные копии недоступны».
«Ущерб компании нанесен серьезный: на решение выявленной проблемы потребуется выделить значительный бюджет с поправкой на оперативность, и, безусловно, это будут большие цифры, которые скажутся на общем бюджете компании, — говорит партнер практики «Операционная эффективность» компании Strategy Partners Денис Тверской. — Также важно понимать репутационные сложности: акции «Аэрофлота» в течение дня упали более чем на 4%, а с учетом совсем недавних проблем с задержками рейсов в аэропортах репутация авиаперевозчика сильно пострадала — значит, нужно также выделять определенный бюджет на грамотный пиар и маркетинг».
Большинство российских компаний не имеют «плана Б» для подобных ситуаций, продолжает эксперт. «Чем больше компании автоматизируются, тем выше вероятность подобных случаев, — считает Тверской. — Единственная возможность избежать подобных ситуаций — стратегия работы с рисками и выстроенные операционные процессы. Нельзя заниматься инвестированием в цифровизацию и экономить на кибербезопасности».
По данным международной статистики, приводит он пример, среднее время простоя бизнеса после атаки вирусами-шифровальщиками — 24 дня. «Стоимость простоя в промышленности — 175 млн рублей в день, говорит он. — А время восстановления IT-систем в условиях кибератаки увеличивается в пять-шесть раз по сравнению с обычными техническими сбоями. Компании необходимо оперативно перестроить свои бизнес-системы, чтобы остаться на плаву». Сейчас «Аэрофлот» делает акцент на рейсы на Дальний Восток, за рубеж, в Калининград и на юг России — подстраиваясь под запросы миллионов туристов, говорит Тверской. «Часть пассажиров пересадят на рейсы авиакомпаний, которые, хотя и входят в ГК «Аэрофлот», не пострадали от атаки. Части туристов вернут деньги, но примерный ущерб предварительно можно оценить в $20–50 млн», — подсчитывает эксперт.
