Утром в понедельник, 28 июля, деятельность авиакомпании «Аэрофлот» была существенно нарушена. Перевозчик объявил об отмене десятков рейсов и рекомендовал пассажирам, купившим билеты, воздержаться от поездок в аэропорты. Вскоре хакерские группы Silent Crow и «Киберпартизаны Белоруссии» заявили о своей причастности к произошедшему. Злоумышленники утверждают, что им удалось похитить 12 терабайт данных, установить полный контроль над рабочими станциями сотрудников, скомпрометировать все критически важные корпоративные системы и уничтожить их. В этой статье мы подробно изучим детали атаки и расскажем, что известно о группировках Silent Crow и «Киберпартизаны Белоруссии».
Детали кибератаки, раскрытые предполагаемыми виновниками
«Киберпартизаны Белоруссии» заявили в своем Telegram-канале, что «успешное проникновение стало возможным во многом благодаря тому, что некоторые сотрудники компании пренебрегают элементарными правилами безопасности».
По словам киберпреступников, после получения доступа к инфраструктуре авиакомпании они в течение года планомерно продвигались по ней, стремясь к полной компрометации систем. Они уточнили, что этому способствовало использование «Аэрофлотом» устаревших версий операционных систем Microsoft, таких как Windows XP и Windows Server 2003.
Кибератака началась в ночь с 27 на 28 июля. К раннему утру мы уничтожили свыше семи тысяч серверов и рабочих станций, базы данных и внутренние системы. Все данные затерты особым инновационным алгоритмом
Хакеры также утверждают, что им удалось отобразить оскорбительные сообщения, часто используемые в проукраинской пропаганде, на экранах компьютеров сотрудников «Аэрофлота».
Кроме того, они заявляют о сохранении доступа к корпоративной электронной почте сотрудников авиакомпании и возможности прослушивать разговоры высшего руководства.
Тем не менее, Роскомнадзор не подтвердил сведения об утечке персональных данных пассажиров. В ведомстве, как сообщает ТАСС, отметили: «Утечка персональных данных клиентов `Аэрофлота` пока не подтверждается».
Кто стоит за предполагаемой атакой на «Аэрофлот»?
Две группы — «Киберпартизаны Белоруссии» и Silent Crow — заявили о своей ответственности за сбой в работе «Аэрофлота». Эти же группировки регулярно сообщают о значительных успехах в киберпространстве против России. Однако стоит отметить, что не все их заявления в дальнейшем получают подтверждение.
«Киберпартизаны Белоруссии» в последние месяцы демонстрировали невысокую активность, сосредоточившись в основном на расследовании исчезновения Анжелики Мельниковой, представителя оппозиционного Координационного совета Белоруссии, пропавшей в Варшаве в марте 2025 года. Этот инцидент породил множество конспирологических теорий о ее возможном предательстве белорусской оппозиции. Еще одним заметным направлением их работы является составление списков граждан Белоруссии, участвующих в спецоперации на Украине на стороне России.
Silent Crow — проукраинская группировка, ранее утверждавшая, что взломала «Ростелеком» и около сотни других крупных российских компаний. Следует подчеркнуть, что эти заявления неоднократно ставились под сомнение экспертами по информационной безопасности. Данные, публиковавшиеся хакерами в качестве доказательств, либо не содержали конфиденциальной информации для российских граждан, либо относились к подрядчикам заявленных жертв, а не к самим жертвам. В некоторых случаях это были компиляции ранее произошедших утечек.
«И в данном случае группировка отметилась целым рядом громких заявлений: будто они год находились в инфраструктуре с максимальным доступом, скомпрометировали все критические системы, выгрузили 12 терабайт данных, включая всю информацию о перелетах. А затем, наигравшись, уничтожили всю инфраструктуру компании, насчитывающую семь тысяч физических и виртуальных серверов, — прокомментировали в авторитетном Telegram-канале T.Hunter. — Вероятнее всего, бахвальство этих «удалых взломщиков» сильно расходится с реальным объемом их деятельности».
Сомнения в причастности хактивистов Silent Crow к взлому выразила и президент компании «ИнфоВотч» Наталья Касперская в своем Telegram-канале. По ее мнению, пока преждевременно делать выводы о том, кто на самом деле стоит за этой атакой.
Это могли быть, например, спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять — это одно, а реально взламывать — другое
Предыдущее сообщение Silent Crow о крупном взломе появилось в их Telegram-канале 20 июля, после почти четырехмесячного молчания. Тогда хактивисты утверждали, что получили полный доступ к данным жителей Москвы и Московской области из системы ЕМИАС.
«Мы получили административный контроль над всей инфраструктурой одного из крупнейших операторов персональных данных, включая контроллер домена, гипервизоры, базы данных. Общий объем выгруженных данных составил около 17 терабайтов», — написали тогда взломщики, прикрепив к сообщению образец данных.
Однако после этого они больше не возвращались к теме взлома ЕМИАС, и дополнительные массивы данных не были опубликованы.
Паралич в работе авиакомпании
«Аэрофлот» с утра предпринимает попытки устранить последствия взлома, который привел к отмене десятков рейсов. В авиакомпании сообщили, что специалисты вынужденно корректируют расписание полетов, включая частичную отмену. По данным Telegram-канала Baza, ситуация остается критической: вылетают лишь те рейсы, по которым полетные расчеты были выполнены заранее.
«Я пришел на работу, но мы не можем распечатать планы полетов, никто ничего не знает. Я даже не могу найти номер экипажа, не могу связаться с капитаном, я не знаю, где он, он не знает, где я. Самолеты все стоят, руководство не имеет информации: где самолет, кто летит, куда летит, номера экипажей. Короче, вообще ничего нет», — сообщил изданию собеседник, работающий в «Аэрофлоте».
К сожалению, в текущих политических реалиях и в условиях нарастающего противостояния с Западом мало надежды, что атаки прекратятся. Скорее всего, атаки на критическую инфраструктуру нашей страны будут только нарастать
Согласно информации Telegram-канала «Авиаторщина», всем сотрудникам «Аэрофлота» было запрещено пользоваться корпоративной почтой и рабочими компьютерами. Для связи с экипажами им было предложено использовать мессенджер Telegram.
Эксперт в области информационной безопасности Алексей Козлов полагает, что восстановление систем «Аэрофлота» может занять до полугода, а полная стабилизация — до одного года. В комментарии РИА Новости он отметил, что точные сроки зависят от степени повреждения инфраструктуры и доступности резервных копий данных. Козлов оценил потенциальный ущерб от кибератаки в пределах от 10 до 50 миллионов долларов.
такова может быть сумма ущерба от сбоя в работе «Аэрофлота»
Об отмене множества рейсов «Аэрофлота» стало известно утром 28 июля. Среди пострадавших оказались пассажиры как вылетающих, так и прилетающих рейсов из Москвы. В частности, это затронуло россиян, планировавших поездки в Астрахань, Грозный, Екатеринбург, Ереван, Калининград, Казань, Минеральные Воды, Санкт-Петербург, Ставрополь, Сочи и другие города.
