Вчерашняя атака на IT-инфраструктуру авиакомпании «Аэрофлот» привела к новому транспортному коллапсу: были отменены десятки пар рейсов как между Москвой и региональными центрами, так и международные рейсы. Столпотворение пассажиров наблюдалось не только в столичном Шереметьево, но и в турецкой Анталии.

Бывают разные типы кибератак. В случае с «Аэрофлотом» имел место взлом с множеством ходов, направленный на поиск дыр и уязвимостей в цифровой системе перевозчика. Это самая сложная хакерская атака, считает эксперт по информбезопасности Павел Мясоедов.

Вряд ли IT-инфраструктура «Аэрофлота» полностью уничтожена, как утверждают хакеры.

Директор департамента расследований T. Hunter Игорь Бедеров возражает: «Часть систем „Аэрофлота“ (бронирование, погодные сервисы) работает в публичных облаках, и уничтожить их может только сам облачный провайдер, а не внешние хакеры. Любая критическая инфраструктура уровня „Аэрофлота“ включает автономные backup-системы, недоступные для хакеров. А также дизастер-рекавери (DRP) — выделенные площадки для аварийного восстановления (например, в другом городе). Уничтожить их вместе с основной инфраструктурой невозможно без физического доступа».

Кроме того, бортовые системы самолетов вообще не зависят от корпоративной сети и управляются отдельно, как и оборудование аэропорта (диспетчерские вышки, системы посадки ILS).

Но очевидно, что IT-систему «Аэрофлота» сильно повредили. Раз пришлось отменять десятки пар рейсов. По данным Минтранса, всего «Аэрофлот» отменил 28 июля 54 парных рейса (туда-обратно) из запланированных 260. Вчера вечером перевозчик в своем Telegram-канале дополнительно проинформировал об отмене пяти рейсов на 28 июля и еще семи рейсов уже на 29 июля.

Чтобы перевезти пассажиров отмененных рейсов, пришлось подключать авиакомпании «Победа» и «Россия». Своими силами «Аэрофлот» уже не справлялся.

Собеседник издания Baza в «Аэрофлоте» сообщал: «Я пришел на работу, но мы не можем распечатать планы полетов, никто ничего не знает. Я даже не могу найти номер экипажа, не могу созвониться с капитаном, я не знаю, где он, он не знает, где я. Самолеты все стоят, руководство ничего не знает: где самолет, кто летит, куда летит, номер экипажей. Короче, вообще ничего нет».

К вечеру 28 июля хакеры продолжали утверждать, что все еще сохраняют доступ к корпоративным почтам сотрудников авиакомпании, а также имеют возможность прослушивать высшее руководство перевозчика.

По данным источников паблика «Авиаторщина», в штаб-квартире «Аэрофлота» в Мелькисарово отключали электричество. Видимо, чтобы никто не вошел в систему.

Специалисты напоминают, за неделю до начала этой атаки на «Аэрофлот» подверглась DDoS-атаке отдельно взятая система бронирования Leonardo.

Последствия

Размер нанесенного ущерба, по первым предварительным оценкам, может составить до 250 миллионов долларов. Оценить индивидуальный ущерб, нанесенный тысячам пассажиров, не представляется возможным.

Эксперт в области информационной безопасности Алексей Козлов полагает, что восстановление систем «Аэрофлота» может занять от нескольких недель до полугода, а полная стабилизация — и вовсе до года. Точные сроки зависят от степени разрушения инфраструктуры и доступности резервных копий данных.

Впрочем, Павел Мясоедов считает, что возвращение к нормальной работе систем «Аэрофлота» может быть быстрее: «Если архитектура построена правильным образом, то при комплементации одного блока другие остаются на плаву. Если там есть резервный бэкап, другие способы восстановления. Компания понесет финансовые и репутационные потери, но из строя не выйдет».

Почему атака стала возможной?

Хакеры, атаковавшие «Аэрофлот», в своем телеграмм-канале объяснили, что им помогло: «Успешное проникновение во многом стало возможным благодаря тому, что некоторые сотрудники компании пренебрегают элементарной безопасностью».

Киберпреступники уточнили, что атаке помогло то, что «Аэрофлот» использовал устаревшие версии операционных систем компании Microsoft — Windows XP и 2003.

Как тут не вспомнить, что в октябре 2024 году гендиректор «Аэрофлота» Сергей Александровский заявил: в 2025 году «Аэрофлот» полностью перейдет на отечественное программное обеспечение. Мало того, запустит программу, позволяющую пассажирам выбирать стоимость билетов с использованием искусственного интеллекта. По факту мы видим, что в разгар 2025 года «Аэрофлот» использует не российское программное обеспечение, а устаревшее западное. И в результате случилось то, что случилось.

Российские авиационные специалисты, увы, согласны с оценками хакеров: атака получилась эффективной ввиду недостаточного контроля доступа и внутренней безопасности в «Аэрофлоте». Козлов уточняет: «Речь прежде всего про недостаточный мониторинг действий инсайдеров, сегментацию сети и защиту централизованных систем управления. Это могло позволить атакующим оставаться незаметными месяцами».

Мясоедов напоминает о другой причине: «Большая система — не значит сильно защищенная. В этом и заключается проблема, которую мы называем „лоскутной автоматизацией“, когда огромное количество разных вендоров поставили свое программное обеспечение, отвечающее за разные задачи».

Работа над ошибками

Вечером 28 июля замминистра транспорта России Владимир Потешкин провел прямо в аэропорту Шереметьево совещание с участием представителей министерства, Росавиации, аэропорта и авиакомпании «Аэрофлот».

Замминистра считает, что «Аэрофлот» и аэропорт Шереметьево обладают необходимыми ресурсами для нормализации ситуации.

28 июля представители «Аэрофлота» просили пассажиров отмененных рейсов не приезжать в аэропорты. И предупредили: возврат денег за билеты или переоформление билетов возможен в ближайшие 10 дней, после восстановления работы IT-систем. Исключения сделали для пассажиров с детьми, маломобильных граждан, участников СВО и тех, кто путешествует трансферным рейсом.

По данным телеграмм-канала «Авиаторщина», работникам «Аэрофлота» запретили пользоваться корпоративной почтой и рабочими компьютерами. А для связи с экипажами сотрудникам предложили использовать мессенджер Telegram. Это само по себе говорит о многом.

Часть рейсов выполняется за счет ручных процедур и экстренных мер, разъяснил директор департамента расследований T. Hunter Игорь Бедеров: регистрацию на рейсы стали вести вручную, как было много лет назад, расписание корректируют через оперативные объявления в аэропорту.

Стоит напомнить, авиационная IT-инфраструктура в нашей стране создавалась еще во времена СССР — в 70−80-е годы ХХ века. В том числе система регистрации пассажиров на рейс и распределения пассажиров в самолете. Раз пришлось возвращаться к ручным процедурам, выходит, одна мощная хакерская атака смогла вернуть крупнейшую авиакомпанию и ее пассажиров в ХХ век? У каких еще авиакомпаний могут найти подобные бреши в IT-системе? И чем это аукнется авиапассажирам в России?

Пресс-секретарь президента России Дмитрий Песков признал: «Та информация, которую мы читаем в общем доступе, — она достаточно тревожная, хакерская угроза — это угроза, которая сохраняется для всех крупных компаний, оказывающих услуги населению».

Кто виноват?

Бывший депутат Верховной Рады Украины Олег Царев, живущий теперь в России, в своем телеграмм-канале обвинил Украину в беспрецедентной хакерской атаке. Бывшая жительница Челябинска, живущая сейчас в США, в беседе с «СП» тоже высказала похожее предположение: «Украинцы нащупали мягкое место. Сейчас будут всё время долбить в эту точку».

В то же время президент InfoWatch Наталья Касперская считает, что рано делать определенные выводы насчет заказчика взлома: «Мы не можем знать наверняка, кто действительно атаковал „Аэрофлот“. Это могли быть, например, спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять — это одно, а реально взламывать — другое».

Того же мнения первый зампред комитета по IT Госдумы Антон Горелкин: «Нельзя забывать, что война против нашей страны ведется на всех фронтах, в том числе цифровом. Не исключаю, что „хактивисты“, взявшие на себя ответственность за инцидент, находятся на службе у недружественных государств».

https://svpressa.ru/accidents/article/474678/