фото: Крупнейшая авиакомпания России в одночасье оказалась без связи, почты и серверов.
Утром 28 июля работа «Аэрофлота» оказалась фактически парализована. Авиакомпания экстренно отменила десятки рейсов, а пассажиров попросили не приезжать в аэропорты.
Вскоре две хакерские группировки «Киберпартизаны Белоруссии» и Silent Crow заявили, что это дело их рук. По словам киберактивистов, им удалось внедриться во внутреннюю инфраструктуру компании, получить доступ к ключевым системам, похитить 12 терабайт данных и полностью уничтожить сервера.
В своём Telegram-канале «Киберпартизаны» уверяют, что начали операцию год назад. Проникновение стало возможным, по их словам, из-за халатности сотрудников, нарушавших элементарные правила информационной безопасности.
Особую уязвимость, как утверждают хакеры, обеспечили устаревшие версии Windows XP и Windows Server 2003, до сих пор используемые компанией.
Кульминацией атаки, по заявлению взломщиков, стала ночь с 27 на 28 июля. Они утверждают, что вывели из строя свыше 7 тысяч серверов и рабочих станций, затёрли данные специальным алгоритмом и даже транслировали на экранах сотрудников оскорбительные надписи, связанные с украинской пропагандой.
Также они уверяют, что по-прежнему имеют доступ к почтам работников и способны следить за руководством компании.
Тем не менее в Роскомнадзоре информацию об утечке персональных данных не подтвердили.
«Утечка персональных данных клиентов «Аэрофлота» пока не подтверждается», — сообщили в ведомстве.
Группировка Silent Crow, которая также взяла на себя ответственность, ранее уже делала громкие заявления. В частности, утверждала, что взломала «Ростелеком» и десятки других крупных компаний. Однако эти заявления вызывали скепсис у специалистов: публикуемые «доказательства» часто либо не содержали важной информации, либо относились к подрядчикам, а не к самим компаниям, а иногда и вовсе представляли собой компиляции старых утечек, отмечает Лента.ру.
«Группировка и здесь отметилась россыпью громких заявлений: и год находились в инфраструктуре, и скомпрометировали все критические системы, и стянули 12 терабайт данных, включая весь массив о перелетах. А наигравшись, уничтожили аж всю инфраструктуру компании, насчитывающую семь тысяч физических и виртуальных серверов», — иронично прокомментировали ситуацию авторы Telegram-канала T.Hunter.
По их мнению, реальные масштабы атаки могут оказаться куда скромнее.
Сомнение в причастности Silent Crow выразила и Наталья Касперская, президент компании InfoWatch. По её словам, преждевременно указывать на конкретных исполнителей.
«Это могли быть спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять — это одно, а реально взламывать — другое», — заявила она.
Примечательно, что последнее громкое заявление Silent Crow сделала всего за неделю до атаки на «Аэрофлот». 20 июля они объявили о взломе ЕМИАС — столичной системы управления медицинскими данными.
Тогда речь шла о 17 терабайтах информации, включая административный доступ к контроллерам домена и базам данных. Однако никаких подтверждений этой атаки также не последовало.
Тем временем, «Аэрофлот» продолжает ликвидировать последствия кибервторжения. Как сообщили в компании, были отменены десятки рейсов, а корректировка расписания ведётся в экстренном режиме.
По данным Telegram-канала Baza, на момент атаки вылетали только те рейсы, документация по которым была оформлена заранее.
Один из сотрудников компании описал происходящее так: «Я пришел на работу, но мы не можем распечатать планы полетов, никто ничего не знает. Я даже не могу найти номер экипажа, не могу созвониться с капитаном, я не знаю, где он, он не знает, где я. Самолеты все стоят, руководство ничего не знает: где самолет, кто летит, куда летит, номер экипажей. Короче, вообще ничего нет».
Сотрудникам запретили пользоваться рабочими компьютерами и корпоративной почтой, а связь с экипажами временно осуществляется через Telegram, сообщает канал «Авиаторщина».
Эксперт по кибербезопасности Алексей Козлов оценил возможный ущерб от атаки в сумму от 10 до 50 миллионов долларов. По его словам, восстановление инфраструктуры может занять от нескольких месяцев до года, в зависимости от глубины поражения и наличия резервных копий.
Под удар попали десятки направлений от Астрахани до Калининграда и от Сочи до Грозного. Пострадали пассажиры, не сумевшие вовремя вылететь из Москвы или вернуться домой.
По мнению Натальи Касперской, кибератаки подобного масштаба вряд ли прекратятся. На фоне геополитической напряженности и конфликта с Западом цифровая инфраструктура становится новой мишенью. И «Аэрофлот», по всей видимости, оказался не последним в этом списке.
в аэропортах РФ царит коллапс: хакеры заявили о разрушении IT-инфраструктуры «Аэрофлота»