Хактивісти зірвали роботу «Аерофлоту», призупинивши багато рейсів

Головна — News — Хактивісти зірвали роботу «Аерофлоту», призупинивши багато рейсів

Резюме інциденту

28 липня 2025 року російський авіаперевізник Aeroflot зазнав масштабного збою в IT-системах, що призвело до скасування 42 рейсів та затримки багатьох інших в аеропорту Шереметєво та інших вузлах. Пасажири на внутрішніх рейсах, а також на напрямках до Мінська та Єревана опинилися в скрутному становищі, оскільки інформаційні табло перестали працювати, а термінали для реєстрації замовкли.

Futurehome Smarthub II переходить на підписку через банкрутство

2025-07-28

Визначення та заяви про відповідальність

Невдовзі після інциденту російські прокурори підтвердили проведення кримінального розслідування, вважаючи, що це був навмисний кібератак. Депутати, такі як Антон Горєлкін, попередили про “цифровий напад”, ймовірно, підтримуваний недружніми державами. Протягом кількох годин два колективи хактивістів – Silent Crow та Білоруські кіберпартизани – взяли на себе відповідальність через Telegram, опублікувавши скріншоти внутрішніх каталогів файлів та обіцяючи оприлюднити перехоплені електронні листи та голосові записи співробітників.

“Відновлення вимагатиме десятків мільйонів доларів,” похвалилися Silent Crow, додавши, що їм вдалося викрасти всю базу даних історії рейсів Aeroflot, журнали дзвінків та відео з камер спостереження.

Технічний аналіз порушення

Початковий доступ і стійкість

Фішингові кампанії: Зловмисники націлилися на високопосадовців Aeroflot, надсилаючи їм фішингові листи з шкідливими макросами Office. Дослідники безпеки з Kaspersky пов’язують ці тактики з раніше зафіксованими кампаніями, що використовували сигнали Cobalt Strike.

Збирання облікових даних: Зломщики отримали доступ до облікових даних адміністратора домену, скомпрометувавши корпоративний VPN-шлюз у незахищеному середовищі Active Directory.

Стійкість: Групи використали спеціально розроблені руткіти для підтримки доступу як на фізичних серверах, так і на віртуальних машинах у кластері VMware ESXi Aeroflot.

Латеральний рух і викрадення даних

Отримавши підвищені привілеї, зловмисники використовували Windows Remote Management (WinRM) та PsExec для переміщення по внутрішній мережі. Вони виявили 7000 серверів, що працюють на SQL Server 2012, всі з яких не мали критичних оновлень, та вивели резервні копії через зашифровані SFTP-канали. Частина викрадених даних включала радарні дані та списки екіпажів, що підкреслює стратегічний характер операції.

Скандал на зустрічі освіти в Оклахомі: загрози безпеці смарт-ТВ

2025-07-28

Аналіз ланцюга постачання та інфраструктури

Залежність Aeroflot від застарілих систем у поєднанні з програмним забезпеченням сторонніх виробників створила численні вектори атак. Система управління польотами авіакомпанії, що базується на базі даних Oracle з обмеженою сегментацією мережі, виявилася особливо вразливою, за словами компанії з безпеки в хмарі CrowdStrike. Цікаво, що зловмисники, ймовірно, вставили шкідливий код у оновлення прошивки, які були доставлені до терміналів для реєстрації, в результаті чого десятки з них вийшли з ладу.

Імплікації кібербезпеки в авіації

Цей інцидент підкреслює крихкість IT-інфраструктур в авіації, які часто поєднують десятирічні основні системи, сучасні хмарні платформи та спеціалізовані додатки для планування. Експерти з моделювання кіберзбитків попереджають, що премії за кіберстрахування для перевізників, які експлуатують обладнання епохи СРСР, можуть зрости більш ніж на 50% у наступному кварталі. Авіакомпанії по всьому світу зараз оцінюють архітектури нульового довіри, щоб ізолювати критично важливі підсистеми, такі як обробка багажу та авіаційна комунікація.

ChatGPT обійшов CAPTCHA «Я не робот»

2025-07-28

Коментарі експертів

“Цей напад підкреслює вразливість застарілих авіаційних систем і необхідність постійного управління оновленнями,” зазначила доктор Олена Кузнєцова, керівник досліджень у Російському інституті цифрової оборони. “Впровадження мікросегментації та багатофакторної аутентифікації на всіх контрольних площинах більше не є варіантом.”

Історичний контекст і майбутні ризики

Схожі операції вже були спрямовані на Росавіацію у 2023 році, змусивши агентство повернутися до роботи з папером після того, як злом ICS знищив 18 місяців архівів електронної пошти. У зв’язку з невирішеними напруженостями в регіоні, аналітики безпеки прогнозують, що хактивістські та державні групи продовжать досліджувати авіаційні мережі, можливо, використовуючи ШПЗ, що працюють на основі штучного інтелекту для автоматизованого латерального переміщення.