Хакерская атака на «Аэрофлот»: кто стоит за взломом крупнейшей авиакомпании России

Массовый сбой и отмены рейсов

Утром 28 июля авиакомпания «Аэрофлот» столкнулась с беспрецедентным сбоем в работе своих информационных систем, который парализовал авиасообщение по всей стране. С самого утра табло вылетов в московском Шереметьево покраснело от отменённых рейсов: были отменены десятки перелётов из Москвы и обратно.

По оценкам Ассоциации туроператоров, из 260 запланированных рейсов около 42% были сорваны – отменено или перенесено порядка 108 рейсов. В результате не менее 20 000 пассажиров столкнулись с проблемами, тысячи людей застряли в аэропортах. Авиакомпания просила путешественников отменённых рейсов, уже прошедших регистрацию багажа, забрать вещи и покинуть аэровокзал во избежание массовых скоплений, пояснив, что переоформить билеты или вернуть деньги можно будет только после восстановления работы систем. На фоне коллапса акции «Аэрофлота» на бирже упали почти на 4% к середине дня.

Параллельно с устранением неполадок в самой компании ситуацию взяли на контроль власти. Минтранс и Росавиация незамедлительно подключились к проблеме, организовав пересадку части клиентов на рейсы других перевозчиков. Было решено перевезти некоторых пассажиров рейсами авиакомпаний «Россия» и «Победа», входящих в группу «Аэрофлот». Тем не менее утренние часы 28 июля сопровождались хаосом в нескольких аэропортах.

Ситуация напомнила недавние инциденты, когда из-за атак беспилотников в начале июля в России также массово отменяли и задерживали рейсы, однако на этот раз причиной стал именно взлом IT-систем крупнейшей авиакомпании страны.

Хакерская атака: год внутри сети и утечка данных

Позднее в тот же день две группировки хакеров заявили, что это их кибератака вывела из строя инфраструктуру «Аэрофлота». О причастности к сбою объявили хакерская группа Silent Crow и белорусское сообщество «Киберпартизаны BY», известные своими проукраинскими взглядами.

В телеграм-канале они назвали произошедшее результатом продолжительной операции, которую готовили целый год.

На протяжении года мы находились внутри их корпоративной сети, методично развивая доступ, углубляясь до самого ядра инфраструктуры, – утверждают взломщики.

По словам хакеров, им удалось полностью скомпрометировать все критически важные системы перевозчика, выгрузить полный массив данных истории перелётов и получить контроль над персональными компьютерами сотрудников – включая устройства высшего руководства.

Группировки заявили, что итогом атаки стало «уничтожение» около 7000 серверов – физических и виртуальных, а также хищение порядка 20 Тб конфиденциальных данных. Среди полученной информации – базы данных пассажиров и программ лояльности, аудиозаписи переговоров, системы безопасности и внутренняя переписка. Киберпреступники уже опубликовали скриншоты с внутренними файлами в доказательство проникновения и пригрозили вскоре начать выкладывать в открытый доступ персональные данные всех пассажиров, когда-либо летавших «Аэрофлотом».

Причиной успеха такой глубокой компрометации хакеры назвали неудовлетворительную защиту IT-инфраструктуры авиакомпании. По их информации, в системе «Аэрофлота» оказались дыры: внутри сети до сих пор использовались устаревшие операционные системы Windows XP и Windows Server 2003, а пароли сотрудников не менялись годами. В частности, выяснилось, что гендиректор компании не обновлял свой пароль с 2022 года.

Последствия, реакция и права пассажиров

Инцидент с «Аэрофлотом» тут же получил широкий резонанс и привлёк внимание государственных органов. Московская межрегиональная транспортная прокуратура начала проверку: надзорное ведомство подтвердило, что причиной сбоя стала хакерская атака на информационные системы авиакомпании. По факту произошедшего возбуждено уголовное дело по ч.4 ст. 272 УК РФ.

В Роскомнадзоре заявили, что проверяют заявления хакеров об утечке персональных данных клиентов и сотрудников, однако на данный момент официальных подтверждений компрометации данных нет. Одновременно Кремль назвал сообщения о взломе крайне тревожными. Пресс-секретарь президента Дмитрий Песков подчеркнул, что хакерская угроза касается всех крупных компаний, обслуживающих население. По его словам, атака на «Аэрофлот» стала серьезным звонком, требующим усиления мер кибербезопасности.

Спустя сутки «Аэрофлот» отчитался о восстановлении работы. 29 июля авиакомпания выполнила около 80% запланированных рейсов, а к полудню планировалось осуществить 93% вылетов из Москвы и обратно по штатному расписанию. Регистрация пассажиров в аэропортах была возобновлена в обычном режиме, контакт-центр усилен для обработки обращений, сайт и мобильное приложение вновь заработали стабильно.

Тем не менее возврат денежных средств за билеты или их обмен официально станет возможен лишь после полного восстановления всех сервисов перевозчика.

Масштабный взлом «Аэрофлота» уже называют одной из самых крупных кибератак на транспортную отрасль России. Эксперты оценивают ущерб для компании в десятки миллионов долларов, не говоря о репутационных потерях.