Кейс взлома "Аэрофлота": факты, выводы и последствия
Факты против заявлений хакеров
1. Масштаб разрушений:
— Хакеры (Silent Crow и «Киберпартизаны BY») утверждали о полном уничтожении IT-инфраструктуры (7,000 серверов) и краже 22 ТБ данных, включая базы пассажиров, переписку сотрудников и записи систем наблюдения.
— Реальность: Часть данных подтверждена независимыми экспертами (например, SQL-дампы с реальными данными рейсов). Однако «Аэрофлот» восстановил работу систем через несколько часов, что ставит под сомнение тотальный характер разрушений .
2. Длительность проникновения:
— Хакеры заявляли о нахождении в сетях компании год, используя уязвимости VPN подрядчиков и слабые пароли (например, гендиректор не менял пароль с 2022 года).
— Подтвержденные уязвимости: Использование устаревших ОС (Windows XP/2003), отсутствие мониторинга действий инсайдеров и DLP-систем .
3. Идеологический мотив:
— Атака связана с поддержкой Украины и белорусской оппозиции. Silent Crow позиционируют себя как «хактивистов», борющихся с «агрессивной политикой Кремля».
Выводы для кибербезопасности
1. Системные провалы:
— Устаревшая инфраструктура и пренебрежение базовыми нормами (слабые пароли, отсутствие MFA) сделали взлом возможным.
— Отсутствие сегментации сетей позволило хакерам получить доступ ко всем критическим системам: Sabre (бронирование), SharePoint, Exchange, CRM, серверам видеонаблюдения .
2. Новые тактики хакеров:
— Silent Crow превратили атаку в «обучающий кейс», опубликовав TTP (тактики, техники, процедуры), включая скрипты для скрытого присутствия в сетях и инструкции по компрометации Active Directory. Это повышает риски повторения атак против других компаний. Но также на основании этих данных можно усилить защиту. Выглядит будто это апогей того, что можно было взломать, поэтому и были выложены методики, так как повторно использовать уже вряд ли получится.
Влияние на выручку и прибыль
1. Прямые убытки:
— Отмена 100+ рейсов (убытки от компенсаций пассажирам и простоев), учитывая, что в среднем Аэрофлот осуществляет 600 рейсов в сутки(без учета дочек) не является ударом по кошельку.
— Затраты на восстановление IT: $10–15 млн (оценка экспертов), включая замену серверов, если сервера, по утверждению все той же группы хакеров неработоспособны, однако верится в это слабо.
— Внедрение новых методов защиты и установка лицензионных программ, станет для Аэрофлота серьезной инвестицией, однако пойдет на пользу компании.
С учетом всех фактов, на текущий момент можно сказать, что взлом скорее направлен на громкие заголовки СМИ для создания паники среди населения.
Больше аналитики и новостей в нашем ТГ канале
https://t.me/xyzcapitalru
- Аэрофлот быстро восстановился
