Хакерская атака на «Аэрофлот»: каким получился разбор полётов

Работа авиакомпании «Аэрофлот» нормализована после мощнейшего IT-сбоя, сообщил официальный Telegram-канал авиаперевозчика По SUти.

«Сайт "Аэрофлота" также работает корректно, сбоев в системе бронирования авиабилетов нет», — сказано в сообщении.

Возникает два вопроса. Первый: грянул ли тот гром, после которого топ-менеджерам пора начать креститься?

И второй: кто должен ответить за «дыры» в системе безопасности, приведшие к транспортному коллапсу в Шереметьево и нервному срыву пассажиров?

Эксперт по кибербезопасности Александр Алексеев, работавший с «Аэрофлотом», ответил на них прямо и без купюр. Спойлер: счастливого финала ждать не стоит.

Что это было?

Работа «Аэрофлота» была парализована в понедельник, 28 июля: отменены 54 пары рейсов (туда-обратно), в Шереметьево транспортный коллапс, все серверы авиакомпании остановлены.

Ответственность на себя взяли хакерские группировки «Киберпартизаны BY» и Silent Crow. О своей IT-операции они отчитались в Telegram так:

• на протяжении года находились внутри сети «Аэрофлота», постепенно получая всё более глубокий доступ;
• добрались до ядра инфраструктуры, что потенциально может означать полный контроль над внутренними процессами авиаперевозчика: в компании якобы пользовались устаревшими операционными системами Windows XP и Windows 2003, а топ-менеджеры с 2023 года не меняли паролей;
• удалось выгрузить историю перелётов и украсть персональные данные россиян, пользовавшихся услугами авиакомпании.

«Аэрофлот» парировал:

«Совместно с профильными ведомствами и партнёрами перевозчика обеспечиваются все необходимые мероприятия по устранению последствий IT-сбоя».

Эту информацию дополнил Минтранс РФ:

«Заместитель министра [транспорта Владимир Потешкин] подчеркнул, что «Аэрофлот» и Шереметьево обладают необходимыми ресурсами для нормализации ситуации. Для специалистов «Аэрофлота» на инфраструктуре аэропорта [Шереметьево] развёрнуты дополнительные рабочие места».

Ни слова о хакерской атаке. Произошедшее назвали IT-сбоем.

Две точки зрения

IT-эксперт Александр Исавнин считает, что атака на «Аэрофлот» всё-таки произошла — у хакеров «был доступ к интерфейсам управления физическими серверами» авиакомпании. Однако проникновение не столь глубокое, как заявляют злоумышленники, считает эксперт.

К такому выводу он пришёл, оценив скорость восстановления работы серверов «Аэрофлота»: управились меньше чем за сутки.

Эксперт напомнил, что хакеры, как правило, хвастаются удалением резервных копий — но в данном случае об этом не сообщалось. Это даёт основания предполагать, что бэкапы — копии важных данных, создаваемые для защиты от потери или повреждения, — уцелели и «Аэрофлоту» будет проще восстановить IT-инфраструктуру.

Впрочем, перед этим необходимо тщательно проверить систему на наличие уязвимостей, чтобы избежать повторного взлома, на эту работу может уйти от нескольких месяцев до полугода, сказал Исавнин в интервью Telegram-каналу «Осторожно, новости».

Иной взгляд на ситуацию у эксперта по кибербезопасности Александра Алексеева. Он работал с «Аэрофлотом» год и всё это время боялся летать. Причина — «дыры», которые были в IT-безопасности авиакомпании. По мере их закрытия страх перед полётами уменьшался.

Поэтому то, что произошло 28 июля, Алексеева в шок не повергло.

«Если хакер попал в вашу инфраструктуру, значит, вы уже конкретно обделались. По какой причине — не принципиально. Повторюсь: если хакер проник в вашу систему — кризис налицо», — без обиняков сказал ForPost Алексеев.

Кто ещё под ударом?

Проблемы, которые Алексеев выявил во время работы с авиаперевозчиком, он встречал и в других крупных компаниях. Следовательно, каждая из них может стать мишенью для хакеров.

К слову, некоторые Telegram-каналы со ссылкой на источники сообщили, что «в ЦИК опасаются, что после успешной атаки на IT-сервисы «Аэрофлота» хакеры попробуют «обрушить» инфраструктуры дистанционного электронного голосования».

Речь прежде всего идёт о выборах, которые пройдут в Единый день голосования 14 сентября на приграничных территориях. В них якобы могут вмешаться украинские хакеры, не исключают собеседники Telegram-каналов. В ЦИК эту информацию никак не комментировали.

Под ударом и РЖД, считает Алексеев.

«В своё время на одном из форумов представители РЖД очень громко рассказывали о великом достижении: всю свою сеть они покрыли антивирусом — это было грустно и смешно одновременно, — сказал Алексеев. — Проблема с кибербезопасностью велика. Те решения, которые внедряются, либо недостаточно хорошо внедряются, либо недостаточно обслуживаются, либо проделываются какие-то «дыры» сбоку, чтобы можно было удобнее работать [злоумышленникам] с инфраструктурой безопасности».

Что касается «Аэрофлота», то это «не та IT-инфраструктура, которую можно пускать на самотёк», подчеркнул наш собеседник. Он рассказал, что у него в своё время был разговор с руководством компании: «Вопрос был поставлен так — сколько будет стоить отказоустойчивая геораспределительная инфраструктура?».

По словам Алексеева, ответ руководства авиакомпании был такой: «Сколько бы это ни стоило, полчаса простоя авиакомпании обойдётся куда дороже».

Причина в том, что ни один аэропорт не является собственностью авиаперевозчиков. Сервисная услуга, предоставляемая им, стоит «астрономических денег», поэтому сознательное отключение серверов — а такое, по данным СМИ, со стороны «Аэрофлота» было, — это «практически отчаянное движение», хотя и логичное, уточнил наш собеседник.

Кто ответит за бардак?

Многие россияне негодуют: неужели за три года СВО крупнейшие компании не удосужились защитить себя от хакеров, не научились предотвращать такие IT-сбои? Как водится, в соцсетях требуют наказать виновных. Насколько требования простого люда в текущей ситуации адекватны?

Алексеев напомнил, что с 30 мая 2025 года значительно ужесточена ответственность за нарушения в области персональных данных. Только в рамках этого закона нужно провести проверку и принять юридические решения в отношении ответственных за кибербезопасность «Аэрофлота», считает наш собеседник.

Параллельно нужно исправлять кривую логику в работе топ-менеджеров, с которой за 20 лет работы он регулярно сталкивается:

«Я знаю массу руководителей по информационной безопасности, которые мне прямо говорили, что внедрение предлагаемого мною решения обойдётся в 12–15 миллионов рублей. Штраф им обойдётся в 20 тысяч рублей, а простой они нивелируют примерно за 50 тысяч рублей. Ну да, утекут в Сеть персональные данные, но — ничего страшного. Зачем заниматься кибербезопасностью, если её нарушение остаётся безнаказанным из-за того, что в России строгое законодательство компенсируется необязательностью его исполнения? Вопрос риторический».

Такое происходит «не в первый и не в последний раз», отметил наш собеседник. Что в финале?

«Ни разу не помню, чтобы кто-то из топ-менеджеров понёс реальную правовую ответственность из-за подобной ситуации. Гром гремит, но никто не торопится креститься: если позиция покрывательства не меняется, то зачем что-то менять? Всё это так или иначе выворачивается в пользу дополнительного финансирования. Все в топ-менеджменте довольны, а воз и ныне там», — подытожил наш собеседник.

Роберт Вочовский