«Аэрофлот» подвергся мощной хакерской атаке, ответственность за которую взяли на себя украинские и белорусские хакеры. Значительная часть рейсов «Аэрофлота» была отменена, возбуждено уголовное дело. Эксперты указывают на ошибки в управлении «Аэрофлота».
Сбой в ИТ-системе «Аэрофлота»
Авиакомпания «Аэрофлот» пережила крупнейший в своей истории сбой в ИТ-инфраструктуре. Согласно сообщению компании, в понедельник, 28 июля, было отменено 54 парных (туда — обратно) авиарейса из запланированных 260.
Украинские хакеры
Ответственность за атаку взяла на себя украинская хакерская группировка Silent Crow, утверждающая, что атака была совершена ими совместно с хакерами из белорусской группировки «Киберпартизаны BY». Хакеры утверждают, что на протяжении года они находились внутри корпоративной сети «Аэрофлота» и якобы добрались до самого её ядра — Tier0.
Согласно утверждению хакеров, ими были скомпрометированы все внутренние корпоративные системы «Аэрофлота», включая Crew, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1C, DLP и др. Также хакерам якобы удалось выгрузить весь массив данных перелётов и получить персональные данные всех сотрудников авиакомпании, включая высшее руководство, а также скопировать все данные с серверов простушки, включая аудиозаписи телефонных разговоров и систем наблюдения и контроля за персоналом.
Хакеры утверждают, что они получили 12 ТБ данных, включая 8 байт файлов с Windows Share и 2 байта с корпоративной почты. Также утверждается, что доступ был получен к 122 гипервизорам, 43 инсталляциям виртуализации Zvirt, около 100 iLO-интерфейсам для управления серверами и 4 кластерам Proxmox. Также утверждается, что было «уничтожено» около 7 тыс. физических и виртуальных серверов.
Неофициальные данные о последствиях атаки
По данным Telegram-канала Baza, в результате хакерской атаки «легли» все ИТ-системы «Аэрофлота», компьютеры не работают ни в аэропортах, ни в офисах. Из-за этого невозможно получить полётные планы и даже заправить самолёт. Telegram-канал утверждает, что в штаб-квартире «Аэрофлота» в Мелькисаровo отключено электричество — это сделано для того, чтобы никто не вышел в систему. Также всем сотрудникам авиакомпании запрещено пользоваться корпоративной почтой и рабочими компьютерами.
Сейчас вылетают только три рейса, расчёты по которым были сделаны заранее, утверждает Telegram-канал, а экипажи, которым «повезло» меньше, пребывают в такой же неизвестности, как и пассажиры. «Я пришёл на работу, но мы не можем распечатать планы полётов, никто ничего не знает. Я даже не могу найти номер экипажа, не можем созвониться с капитаном, я не знаю, где он, он не знает, где я», — цитирует Baza своего источника в «Аэрофлоте».
Позиция «Аэрофлота» и Минтранса
Со своей стороны, «Аэрофлот» попросил пассажиров, представителей СМИ и администраторов Telegram-каналов «не пользоваться недостоверной информацией, публикуемой различными ресурсами». Авиакомпания пообещала вернуть пассажирам отменённых рейсов денежные средства, но возврат средств за билеты, купленные на сайте, будет возможен только после восстановления ИТ-системы. Также, после восстановления работы ИТ-систем, будет возможен обмен билетов на свободные места на аналогичные рейсы в последующие 10 дней (но тоже только после восстановления ИТ-системы).
«В случае более оперативного восстановления ИТ-систем «Аэрофлот» ускорит все процессы переоформления и стабилизации выполнения программы полётов», — добавили в авиакомпании. Заместитель министра транспорта Владимир Потешкин провёл в аэропорту Шереметьево (базовый аэропорт «Аэрофлота») совещание с представителями Минтранса, Росавиации, аэропорта и авиакомпаний. По сообщению Минтранса, приоритет в расписании «Аэрофлота» был отдан рейсам на Дальний Восток, в Калининград, Сочи, Минеральные Воды и за рубеж, в том числе на широкофюзеляжных самолётах.
В случае новых отмен рейсов «Аэрофлота» будет сокращаться число полётов на многочастотных маршрутах, где работают альтернативные перевозчики. Минтранс «ведёт с ними работу по корректному подходу к ценам на билеты». Также в министерстве добавили, что «работа касс и процедур по переоформлению билетов настроена, в первую очередь, в интересах граждан с детьми, маломобильных пассажиров и участников СВО».
В аэропорту Шереметьево организовано круглосуточное информирование, бесплатная питьевая вода, круглосуточная и бесплатная работа комнаты матери и ребёнка и детских зон, круглосуточная и бесплатная работа зала для пассажиров с ограниченными возможностями здоровья. Кроме того, для специалистов «Аэрофлота» на инфраструктуре аэропорта развёрнуты дополнительные рабочие места.
Уголовное дело об атаке на «Аэрофлот»
Генпрокуратура сообщила, что по её поручению Московская межрегиональная транспортная прокуратура взяла на контроль ситуацию в аэропорту Шереметьево. Кроме того, по материалам прокурорской проверки возбуждено уголовное дело по части 4 статьи 272 Уголовного кодекса («неправомерный доступ к компьютерной информации, повлекший тяжкие последствия»). Кем возбуждено уголовное дело, не сообщается.
Пресс-секретарь Президента Дмитрий Песков назвал «достаточно тревожными» сообщения о хакерской атаке на «Аэрофлот». В Роскомнадзоре опровергли информацию «хакеров» о компрометации персональных данных клиентов или сотрудников компании в ходе атаки на информационные системы «Аэрофлота».
Позиции экспертов
«Надеюсь, что предусмотренную законом ответственность понесут не только исполнители этой атаки и её заказчики, но и те должностные лица, по вине которых она стала возможной, — заявил депутат Антон Горелкин. — «Аэрофлот» должен сделать серьёзнейшие выводы из этой ситуации, но сейчас самое важное — выполнить обязательства перед пассажирами».
«То, что произошло, — урок не только участникам рынка авиаперевозок, но абсолютно всем российским организациям, — добавил депутат. — Нельзя забывать, что война против нашей страны ведётся на всех фронтах, в том числе цифровом. И я не исключаю, что „хактивисты“, взявшие на себя ответственность за инцидент, находятся на службе недружественных государств. Поэтому кибербезопасности должно уделяться первостепенное внимание. Важно не только выполнять формальные требования к защищённости своей информационной инфраструктуры, но и регулярно проводить её испытания. Пока за вас её не испытали враги».
Политолог Сергей Макаров отмечает несколько уязвимых мест в ИТ-инфраструктуре «Аэрофлота», а именно западное ПО и пароли, не менявшиеся с 2022 г. «Огромный бардак, — констатирует политолог. — Видимо, менеджеры „Аэрофлота“, как нормальные миллионеры, всё надеялись, что скоро конфликт с Западом закончится. Потому что это „никому не нужный конфликт“. И нужно защищать системы только от преступников. А вот пришлось — от спецслужб „террористических государств“. К этому они совсем не были готовы. Ну да, теперь им всё объяснят».
Предыдущая хакерская атака на «Аэрофлот»
В 2010 г. DDoS-атаке подверглась платёжная система «Ассист», которая на тот момент обслуживала «Аэрофлот». В результате на сайте авиакомпании в течение недели невозможно было оплатить электронные билеты. Уголовное дело возбудила ФСБ (Федеральная служба безопасности).
В 2011 г. ФСБ предъявила обвинение всем участникам атаки: её заказчику, владельцу платёжной системы Chronopay (конкурент «Ассист») Павлу Врублевскому, исполнителям — хакерам братьям Дмитрию и Игорю Артимовичу и посреднику между ними — сотруднику службы безопасности Chronopay Максиму Пермякову. Все они были задержаны и в 2023 г. приговорены к 2,5 годам тюрьмы (Пермяков получил условный срок). Игорь Артимович не прибыл к месту исполнения наказания и был объявлен в розыск. Дмитрий Артимович и Павел Врублевский отбыли половину срока в колонии-поселении и затем освободились по УДО (условно-досрочное освобождение). Сейчас Врублевский ожидает приговора по другому делу — о мошенничестве в интернете.
По мнению Дмитрия Артимовича, после DDoS-атаки «Аэрофлот» должен был усилить меры по обеспечению информационной безопасности. В данном случае американские спецслужбы могли найти уязвимость в ПО, используемом «Аэрофлотом», и передать данные об этом украинским хакерам, полагает Артимович. Не исключён вариант, что кто-то внедрил вирус-шифровальщик в ИТ-систему «Аэрофлота», и затем передал эту информацию украинским хакерам.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.