В 7:43 утра, 28 июля 2025 г., ПАО «Аэрофлот» опубликовало в официальном Telegram-канале компании «По SUти» сообщение, согласно которому в работе информационных систем авиакомпании произошел сбой. Он привел, по словам компании, к корректировкам расписания, переносам и отменам рейсов.
Чуть больше чем через час, в 8:57 утра, хакеры из Silent Crow рассказали в Telegram-канале группировки, что они и хактивисты из группы «Киберпартизаны BY» скомпрометировали и разрушили внутреннюю ИТ-инфраструктуру российского авиаперевозчика. Согласно сообщению, они находились во внутренней корпоративной сети «Аэрофлота» с лета 2024 г. и за год смогли добраться до ядра инфраструктуры. Авторы сообщения отметили, что за это время хакерам удалось скомпрометировать все критические корпоративные системы, получить контроль над компьютерами сотрудников, включая высшее руководство. А также скопировать данные с серверов прослушки, включая аудиозаписи телефонных разговоров и перехваченные коммуникации; извлечь данные из систем наблюдения и контроля за персоналом.
«Мы получили доступ к 122 гипервизорам, 43 инсталляциям виртуализации ZVIRT, около сотни iLO-интерфейсов для управления серверами, 4 кластерам Proxmox. В результате действий было уничтожено около 7000 серверов — физических и виртуальных. Объем полученной информации 12TB баз данных, 8TB файлов с Windows Share, 2TB корпоративной почты.
Все эти ресурсы теперь недоступны или уничтожены, восстановление будет требовать, возможно, десятки миллионов долларов. Ущерб — стратегический», — заявили Киберпартизаны BY и Silent Crow в своем канале.
Злоумышленники уточнили, что успеху способствовало использование «Аэрофлотом» устаревших версий операционных систем компании Microsoft — Windows XP и 2003. А также тот факт, что некоторые сотрудники компании пренебрегают элементарной безопасностью паролей.
Хакеры заверяют, что до сих пор сохраняют доступ к корпоративным почтам сотрудников авиакомпании, и имеют возможность прослушивать высшее руководство перевозчика.
Однако в Роскомнадзоре не подтвердили информацию об утечке данных пассажиров. «Утечка персональных данных клиентов «Аэрофлота» пока не подтверждается», — подчеркнули в ведомстве в разговоре с ТАСС.
Представители Генпрокуратуры подтвердили, что причиной сбоев в системах «Аэрофлота» стала хакерская атака. Ведомство сообщает, что возбудило уголовное дело по признакам преступления, предусмотренного частью 4 статьи 272 УК РФ (неправомерный доступ к компьютерной информации).
Как сообщил Telegram‑канал «Авиаторщина» со ссылкой на источники в авиакомпании, какое-то время работа компании была полностью парализована.
«По словам сотрудников авиакомпании, сегодня ночью хакнули всю внутреннюю IT‑систему „Аэрофлота“. Компьютеры не работают абсолютно везде — ни в Шереметьево, ни в офисах авиакомпании. Легли все системы, полётных планов нет, заправить самолёт даже не могут, рассказал один из собеседников. По словам другого, вылетают только те рейсы, расчёты по которым успели сделать. В Мелькисарово (в штаб‑квартире „Аэрофлота“) пропало даже электричество — предварительно, его вырубили, чтобы никто не мог включить компьютеры и войти в систему. Многих членов экипажей разворачивают домой, а офисные сотрудники просто сидят и ничего не делают», — уточнили источники «Авиаторщины».
В 14:38 «Аэрофлот» сообщил, что продолжает операционную деятельность, и опубликовал возможные сценарии для пассажиров отмененных рейсов. В 16:50 Министерство транспорта РФ рассказало, что «Аэрофлот» отменил 54 парных рейса (туда-обратно) за понедельник, 28 июля, а остальные 206 рейсов из запланированных 260 готовились к выполнению.
«Приоритет в расписании «Аэрофлота» отдан рейсам на Дальний Восток, в Калининград, Сочи, Минеральные Воды и за рубеж, в том числе на широкофюзеляжных самолетах», — говорится в сообщении ведомства.
В 19:50 «Аэрофлот» опубликовал новый список отмененных рейсов. В нем было пять рейсов в Москву из разных городов России на 28 июля и еще семь на 29 июля. По подсчетам специалистов, сбой мог затронуть более 20 тыс. пассажиров.
Отметим, что эксперты обвинили самих хакеров и некоторые СМИ в преувеличении масштабов проблемы.
Так директор департамента расследований ООО «Ти Хантер» (T.Hunter) Игорь Бедеров отметил, что заявления хакеров частично подтвердились результатами сбоя, однако они требуют проверки. Он отметил, что уничтожение «всей инфраструктуры» невозможно.
«Потенциальный ущерб для компании может составить десятки миллионов долларов прямых потерь из-за остановки рейсов, затрат на восстановление, а также штрафов за утечку данных. Полное физическое уничтожение всей ИТ-инфраструктуры крупной авиакомпании технически невозможно и является медийным преувеличением. Заявление Silent Crow о «полном уничтожении» — это либо пропагандистский штамп, либо сознательное искажение. На деле же бравада удалых взломщиков, скорее всего, сильно расходится с реальностью того, что они там «напартизанили», — заявил он.
Игорь Бедеров отметил, что физическая распределенность инфраструктуры предполагает, что уничтожить более 7000 серверов физически или удаленно за одну атаку невозможно, и обратил внимание, что часть систем (бронирование и погодные сервисы) авиаперевозчика работают в публичных облаках и уничтожить их может только облачный провайдер, а не внешние хакеры. По его словам, критическая инфраструктура уровня «Аэрофлота» включает автономные backup-системы, недоступные для хакеров, и дизастер-рекавери (DRP) — выделенные площадки для аварийного восстановления (например, в другом городе).
«Уничтожить их вместе с основной инфраструктурой невозможно без физического доступа. Бортовые системы самолетов не зависят от корпоративной сети и управляются отдельно. Так же как и аэропортовое оборудование (диспетчерские вышки, системы посадки ILS) — изолированные госсистемы, не входящие в инфраструктуру авиакомпании».
Хакеры всегда склонны преувеличивать свои достижения, а в данном случае нужно учитывать, что эти хакеры политически мотивированы, отметил главный редактор портала frequentflyers.ru Илья Шатилин. «В пользу этой версии говорит и то, что они упоминали системы, которые в «Аэрофлоте» давно не используются», – добавил он. Шатилин также заметил, что «Аэрофлот» «многое разрабатывал самостоятельно, а чем больше «инхаусного софта», тем меньше подрядчиков и меньше «точек входа» для потенциальных преступников».
Анализ текущей кибератаки требует трезвого взгляда на природу корпоративных соглашений в сфере ИБ, считает Бедеров. Во-первых, отмечает эксперт, подписание меморандумов часто служит сигналом рынку о «движении в сторону ИБ», но не означает немедленного внедрения конкретных решений. Во-вторых, продолжает он, в открытых документах редко прописываются сроки внедрения, зоны ответственности и санкции за срывы. В-третьих, многосторонние соглашения без четкого разграничения зон контроля создают иллюзию деятельности, но ведут к «слепым зонам», отмечает Бедеров. Наконец, в-четвертых, компании-интеграторы часто продвигают в подобных соглашениях лишь собственные продукты, а не оптимальные решения.
Обновлено: за сутки авиаперевозчик смог почти полностью возобновить запланированные полеты. Так, в официальном Telegram-канале авиакомпании утром 29 июля появилось сообщение о том, что в этот день планируется выполнить 93% рейсов (216 парных рейсов из 233) из Москвы и обратно по плановому расписанию. К 30 июля расписание полетов полностью стабилизировалось.
С заботой о вашей безопасности, команда Origin Security
