Кибератака на «Аэрофлот»

Произошедшая утром 28 июля атака на ИТ-системы «Аэрофлота» стала одним из крупнейших киберинцидентов в истории российской авиации. В результате взлома национальный авиаперевозчик в этот день отменил 54 парных рейса. Генпрокуратура провела проверку в аэропорту «Шереметьево» и подтвердила хакерскую атаку на ИТ-инфраструктуру «Аэрофлота».

Сам «Аэрофлот» сведения о хакерской атаке не комментировал, лишь заявил, что «продолжает операционную деятельность, но в условиях вынужденных ограничений из-за сбоя ИТ-инфраструктуры».

О своей ответственности за атаку на «Аэрофлот» заявили хакерские группировки Silent Crow и «Киберпартизаны BY». По уверениям злоумышленников, операция готовилась в течение года и завершилась «уничтожением» около 7000 физических и виртуальных серверов, включая базы данных, CRM, Exchange, а также похищением 22 ТБ информации. В частности, по их словам, хакерам удалось выгрузить полный массив баз данных истории перелетов, скомпрометировать критические корпоративные системы, а также получить контроль над персональными компьютерами сотрудников и высшего руководства авиакомпании. В ближайшее время хакеры обещают начать публикацию части полученных данных.

Представитель Роскомнадзора 28 июля заявил, что сообщения хакеров о компрометации персональных данных клиентов или сотрудников при атаке на системы «Аэрофлота» пока не подтверждаются.

Кроме того, в тот же день подмосковный аэропорт «Жуковский» предупредил о временных ограничениях доступа к сайту из-за технических неполадок в работе интернет-провайдера. Директор департамента расследований T.Hunter Игорь Бедеров не исключил, что аэропорт мог стать жертвой атаки на цепочку партнеров «Аэрофлота».

Бедеров также напомнил, что примерно за неделю до начала этой атаки на «Аэрофлот» система бронирования авиабилетов Leonardo подверглась DDoS-атаке. «Предположу, что DDoS мог являться прикрытием или маскировкой для проникновения хакеров в инфраструктуру компании», – сообщил он.

Но эксперт не доверяет заявлению хакеров о «полном физическом уничтожении» всей IT-инфраструктуры авиакомпании. Это, по словам Бедерова, за одну атаку технически невозможно и является медийным преувеличением: «Это либо пропагандистский штамп, либо сознательное искажение».

«Часть систем «Аэрофлота» (бронирование, погодные сервисы) работает в публичных облаках, и уничтожить их может только сам облачный провайдер, а не внешние хакеры, – поясняет эксперт. – Любая критическая инфраструктура уровня «Аэрофлота» включает автономные backup-системы, недоступные для хакеров. А также дизастер-рекавери (DRP) – выделенные площадки для аварийного восстановления (например, в другом городе). Уничтожить их вместе с основной инфраструктурой невозможно без физического доступа». Бедеров добавил, что бортовые системы самолетов не зависят от корпоративной сети и управляются отдельно. Также он подчеркнул, что аэропортовое оборудование (диспетчерские вышки, системы посадки ILS) – это «изолированные госсистемы, не входящие в инфраструктуру авиакомпании».

По оценкам Бедерова, потенциальный ущерб для компании может составить десятки миллионов долларов прямых потерь из-за остановки рейсов, затрат на восстановление, а также штрафов за утечку персональных данных примерно до 500 млн руб. При этом, продолжает он, восстановление потребует не только финансовых вливаний, но и кардинального пересмотра подходов к информационной безопасности (ИБ).

Помимо прямых потерь есть и серьезные косвенные последствия – падение доверия клиентов, отказ от услуг перевозчика, а также возможные государственные санкции и штрафы, ведь «Аэрофлот» – стратегическая госкомпания с объектами критической информационной инфраструктуры, подчеркивает собеседник «Ведомостей».

Ранее также стало известно, что Россию атакует рекордное количество хакеров.

Читать статью в полной версии «Ведомости»