Как «Аэрофлот» преодолевал последствия взлома ИТ-систем
Несмотря на произошедшую 28 июля масштабную атаку на ИТ-инфраструктуру «Аэрофлота», за сутки авиаперевозчик смог почти полностью возобновить запланированные полеты. Так, в официальном Telegram-канале авиакомпании утром 29 июля появилось сообщение о том, что в этот день планируется выполнить 93% рейсов (216 парных рейсов из 233) из Москвы и обратно по плановому расписанию. «Ведомости» направили запрос в «Аэрофлот».
Кибератака началась утром 28 июля, ответсвенность за нее взяли две группировки злоумышленников Silent Crow и «Киберпартизаны BY», связанные с украинскими и белорусскими хакерами.
Факт хакерской атаки в тот же день подтвердила и Генпрокуратура, возбуждено уголовное дело.
К вечеру 28 июля «Аэрофлот» возобновил 206 из 260 запланированных рейсов за счет резервных мощностей в Шереметьево и ручного управления, напоминает директор департамента расследований T.Hunter Игорь Бедеров. Но работа систем бронирования, возврата билетов и мобильных сервисов пока остается ограниченной, добавляет он. «Хакеры заявили об уничтожении резервных копий в ходе атаки, однако реальный статус бэкапов неизвестен», – подчеркивает эксперт.
Возобновление рейсов говорит о том, что «Аэрофлот» за один день частично смог решить самую главную проблему – отправку рейсов, отмечает сооснователь компании 3side Антон Бочкарев. «Это достаточно сильно и означает, что у них были резервные копии (бэкапы), которые у них получилось восстановить, – заметил эксперт. – Значит. что хотя бы к этой части атаки компания точно была в какой-то степени готова». Сейчас идет процесс восстановления, который «Аэрофлот» осуществляет достаточно быстро, учитывая необходимость проверки возможно оставшихся следов хакеров, говорит собеседник. Но дать оценку уровня восстановления всей IT-инфраструктуры авиакомпании могут только специалисты «Аэрофлота», отметил Бочкарев.
В то же время Silent Crow и «Киберпартизаны BY» заявили о том, что якобы сохраняют доступ к внутренней инфраструктуре «Аэрофлота», включая компьютеры топ-менеджмента. По словам Бедерова, скорее всего, хакеры могут продолжать свою активность лишь в специально созданной «песочнице». «Обычно атакующая компания ограничивает часть инфраструктуры, чтобы в ней можно было изучить активность хакеров. Туда могут быть внедрены ханипоты (ловушки), которые выявляют уже ресурсы самих взломщиков, фиксируют используемые ими ПО и скрипты», – поясняет он.
С высокой долей вероятности можно сказать, что атака завершена, но проблема в том, что у хакеров было много времени для того, чтобы использовать уязвимости инфраструктуры и обеспечить себе резервные варианты для повторного проникновения, не исключает исполнительный директор разработчика системы защиты данных от утечек «Стахановец» Дмитрий Исаев. Механизм проникновения хакеров на сегодняшний день известен только компаниям, принимающим участие в расследовании атаки, но у них строгий режим NDA (соглашение о неразглашении информации), отметил Бочкарев. Возможно, механизм атаки так и не будет известен до опубликования этой информации самим «Аэрофлотом», не исключил он.
Вероятнее всего, атака была проведена с помощью шифрования ключевых данных компании и бизнес-систем, так как на данный момент нет других способов остановить работу компании на длительный срок, говорит Бочкарев.
В «Спарк-Интерфакс» нет данных о подрядчиках «Аэрофлота» по кибербезопасности. Но в июне 2023 г. на полях ПМЭФ «Аэрофлот» и «Ростелеком» с участием экспертов ГК «Солар», договорились о сотрудничестве в области информационной безопасности (ИБ). В рамках соглашения предполагалось, что компании будут развивать корпоративные сети передачи данных, импортозамещать программное обеспечение и оборудование, а также тестировать и внедрять отечественные решения в области сетевой инфраструктуры.
Также на ЦИПР – 2025 в начале июня авиакомпания заключила соглашение с ИБ-компанией «Бастион» (входит в «Икс Холдинг») о сотрудничестве в части проведения совместных мероприятий по тестированию и развитию отечественных технологий в области кибербезопасности. В конце июня в рамках ПМЭФ-2025 «Аэрофлот» также подписала соглашение с BI.Zone (входит в экосистему «Сбера») о сотрудничестве в сфере кибербезопасности на базе решений с технологиями искусственного интеллекта.
«На данный момент выясняются причины произошедшего, ГК “Солар” тоже принимает участие в этой работе, – сообщил «Ведомостям» представитель этой компании. – До выяснения всех обстоятельств говорить о каких-либо выводах о кибератаке, ее длительности и масштабе ущерба преждевременно». Защита столь масштабной инфраструктуры, как у «Аэрофлота», – это комплексная задача, которую решают сразу множество поставщиков ИБ, отметил собеседник.
По словам Бочкарева, подрядчики «Аэрофлота» в части кибербезопасности могут быть привлечены к ответственности в рамках договоров и понести серьезный репутационный ущерб. «Но первостепенно за безопасность отвечает сама компания и только потом подрядчики», – подчеркнул он. В первую очередь, по мнению эксперта, ответственность грозит «именно руководству “Аэрофлота”, отвечающему за ИБ».
Анализ текущей кибератаки требует трезвого взгляда на природу корпоративных соглашений в сфере ИБ, считает Бедеров. Во-первых, отмечает эксперт, подписание меморандумов часто служит сигналом рынку о «движении в сторону ИБ», но не означает немедленного внедрения конкретных решений. Во-вторых, продолжает он, в открытых документах редко прописываются сроки внедрения, зоны ответственности и санкции за срывы. В-третьих, многосторонние соглашения без четкого разграничения зон контроля создают иллюзию деятельности, но ведут к «слепым зонам», отмечаtт Бедеров. Наконец, в-четвертых, компании-интеграторы часто продвигают в подобных соглашениях лишь собственные продукты, а не оптимальные решения, заключил он.
Представители Positive Technologies, «Лаборатории Касперского» и BI.Zone отказались от комментариев.