itwelve.ru

Персональный помощник в мире IT

задайте мне вопрос

+7-995-12-16-900

ИБ

  • Атака хакеров на Аэрофлот

    Атака хакеров на Аэрофлот

    Инцидент, который мог не случиться.

    Что известно из СМИ

    «Аэрофлот» из-за IT-сбоя только за сутки, 28 июля, 2025 мог потерять не менее ₽250 млн из-за необходимости отмены рейсов в Шереметьево. С учетом расходов на восстановление инфраструктуры ущерб может быть больше

    rbc.ru

    СМИ: восстановление IT-систем «Аэрофлота» может занять от нескольких недель до шести месяцев

    По неподтверждённым данным, хакерские группировки сообщили о масштабной кибератаке на «Аэрофлот». «Операция длилась около года и завершилась полным уничтожением внутренней IT‑инфраструктуры авиакомпании. Удалось получить и выгрузить полный массив баз данных истории перелётов, скомпрометировать все критические корпоративные системы, включая: CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1C, DLP и другие. Получить контроль над персональными компьютерами сотрудников, включая высшее руководство. Скопировать данные с серверов прослушки, включая аудиозаписи телефонных разговоров и перехваченные коммуникации. Извлечь данные из систем наблюдения и контроля за персоналом. Получить доступ к 122 гипервизорам, 43 инсталляциям виртуализации ZVIRT, около сотни iLO‑интерфейсов для управления серверами, 4 кластерам Proxmox. В результате действий было оказано влияние на около 7000 серверов — физических и виртуальных. Объем полученной информации 12 TB баз данных, 8 TB файлов с Windows Share, 2 TB корпоративной почты», — пояснили в заявлении хакеры. В авиакомпании не комментировали и не уточнили информацию про эти заявления хакеров.

    habr.com

    Комментарий

    Реальность

    Да, очевидно, что инцидент затронул ИТ инфраструктуру авиакомпании. Первые оценки как правило более пессимистичные. Но после тщательного анализа реальных последствий атаки скорее всего специалисты найдут какие-то средства для снижения ущерба. 

    Обязательно будет разбор полетов и поиск виноватых. Однако финансовый ущерб, выраженный в отмене рейсов, уже наступил, а вместе с ним и репутационный. Эти два ущерба всегда шагают парой.

    Почему это произошло? 

    1. Компания большая. ИТ парк огромный, тянет за собой системы, которые просто очень трудно заменить чем либо единовременно. Особенно в условиях начинающегося импортозамещения. Техническая поддержка «зоопарка» выливается в трудности при своевременном обновлении таких систем.
    2. Выстраивание единой политики безопасности  затруднено. Скорее всего в Аэрофлоте существует тысяча инструкций по эксплуатации, обслуживанию и взаимодействию, которые дополняют, отменяют или полностью противоречат друг другу. 
    3. Большой штат также может стать предпосылкой к неправомерному доступу к информационным системам возможно. То есть имелся человеческий фактор — банально утечка одного из паролей администратора, который не был сменен после увольнения сотрудника.
    4. Высокая квалификация злоумышленников. Длительный сбор данных хакерами показывает, что основная цель была изначально в проведении масштабной атаки со значительным уроном. Можно предположить, что действовала группа злоумышленников, а не энтузиаст-одиночка.

    Что делать?

    1. Провести тщательный анализ причин.
    2. Провести сопоставление угроз и мер защиты.
    3. Обеспечить постоянный независимый аудит информационной безопасности с тестированием на проникновение.
    4. Подключить к разработке планов модернизации ИТ инфраструктуры передовых специалистов ИБ.
    5. Подготовить резервное техническое решение на случай повторения нештатных ситуаций.