Как взломали «Аэрофлот». The Bell рассказывает подробности о хакерской атаке, из-за которой в Шереметьево произошел коллапс
1:11 pm
, Tue, Dec 9, 2025
0
0
0
Утром 28 июля 2025 года перестали работать все информационные системы «Аэрофлота» — от корпоративной почты до регистрации пассажиров. В результате были задержаны или отменены сотни рейсов, в Шереметьево — базовом аэропорту авиакомпании — произошел транспортный коллапс. Он затронул десятки тысяч пассажиров. «Аэрофлот» потерял не меньше 260 миллионов рублей только из-за отмены рейсов, а общий ущерб оценивается в десятки миллионов долларов. Журналистка Мария Коломыченко рассказала, как и почему это произошло. Полный текст в издании The Bell — здесь. «Медуза» пересказывает главное из него.
Причиной сбоя стала хакерская атака. Две группировки — украинская Silent Crow и белорусские «Киберпартизаны» — взломали сеть компании «Бакка Софт», которая участвовала в разработке мобильных и веб-приложений «Аэрофлота». Через нее хакеры получили удаленный администраторский доступ к инфраструктуре авиакомпании. Они в определенный момент запустили процесс стирания данных со всех рабочих станций — а это около 10 тысяч компьютеров.
Хакеры попытались «убить и затереть домен» — и это им в значительной степени удалось: при отсутствии связи с корпоративным доменом стационарные рабочие места (включая стойки регистрации в аэропорту) при загрузке требовали учетные данные домена и переставали работать. Все автоматизированные процессы остановились.
Чтобы остановить уничтожение инфраструктуры, в офисах «Аэрофлота» сначала отключили внешние каналы связи, а затем стали обесточивать целые этажи.
После атаки хакеры заявили, что получили полную историю перелетов, скомпрометировали критические корпоративные системы, получили контроль над рабочими станциями сотрудников вплоть до топ-менеджмента, скопировали записи телефонных разговоров и данные из систем видеонаблюдения и контроля персонала. Они опубликовали скриншоты из внутренней сети, аудиозаписи переговоров, внутренние документы (включая стратегию по информационной безопасности «Аэрофлота») и еще больше трех гигабайтов данных, вплоть до медицинских карт пилотов.
Среди похищенных документов The Bell отмечает наличие материалов о «некоммерческих рейсах авиакомпании», включая документ с подписью представителя Минобороны, в котором говорится о военных перевозках — при том что «Аэрофлот» позиционирует себя как исключительно гражданского перевозчика, который не имеет никакого отношения к войне.
После атаки сотрудники авиакомпании еще несколько месяцев были вынуждены решать многие рабочие задачи (такие как составление графиков пилотов) в ручном режиме. Данные можно было восстановить из бэкапов, но часто было непонятно, какую резервную копию надо брать: она могла содержать вредоносный софт, запущенный хакерами.
В восстановлении инфраструктуры «Аэрофлота» и расследовании атаки помогали представители «Лаборатории Касперского», компаний «Бастион», «Солар», BI.ZONE (это все IT-подрядчики «Аэрофлота»), а также специалисты ФСБ, МВД и Следственного комитета. Публично компания заявила лишь о «сбое в работе информационных систем», подробностей случившегося не знали даже большинство ее сотрудников.
The Bell пишет, что кибербезопасностью «Аэрофлота» занимались сразу несколько крупных компаний. Уязвимостей в его системе оказалось очень много. Некоторые из них были неизбежны, учитывая масштабы сети. Но были и системные ошибки.
Проникновение хакеров в сеть «Бакка Софт» выявили еще в январе 2025 года — за полгода до атаки на «Аэрофлот». Их оттуда «выбили», но никаких дополнительных мер безопасности не приняли — и в мае хакеры смогли вернуться.
Сам взлом, как отмечают источники The Bell, был довольно заурядным: использовался стандартный инструментарий, хакеры добились успеха не благодаря какой-то особенной изобретательности, а благодаря осторожности, последовательности и дисциплине.
Помогло им и то, что система кибербезопасности «Аэрофлота» до атаки была в значительной степени дезорганизована. Ею занимались две структуры: департамент информационной безопасности и аппарат заместителя гендиректора по информационным технологиям и информационной безопасности. У них разные бюджеты, они работают с разными подрядчиками.
При этом на информационную безопасность «Аэрофлот» тратит значительные суммы: за 2024 год — 858,8 миллиона рублей. Крупнейшими подрядчиками являются компании «Бастион» (сооснователь — Борис Королев, сын главы службы экономической безопасности ФСБ), «Солар» (принадлежит «Ростелекому»), «Лаборатория Касперского», BI.ZONE (входит в «Сбер»). Наибольшую роль играет «Бастион» — в частности, с последствиями первого взлома «Бакка Софт» в январе разбирался именно он.
До сих пор неясно, изменил ли «Аэрофлот» свою политику кибербезопасности — и если да, то как именно.
Причиной сбоя стала хакерская атака. Две группировки — украинская Silent Crow и белорусские «Киберпартизаны» — взломали сеть компании «Бакка Софт», которая участвовала в разработке мобильных и веб-приложений «Аэрофлота». Через нее хакеры получили удаленный администраторский доступ к инфраструктуре авиакомпании. Они в определенный момент запустили процесс стирания данных со всех рабочих станций — а это около 10 тысяч компьютеров.
Хакеры попытались «убить и затереть домен» — и это им в значительной степени удалось: при отсутствии связи с корпоративным доменом стационарные рабочие места (включая стойки регистрации в аэропорту) при загрузке требовали учетные данные домена и переставали работать. Все автоматизированные процессы остановились.
Чтобы остановить уничтожение инфраструктуры, в офисах «Аэрофлота» сначала отключили внешние каналы связи, а затем стали обесточивать целые этажи.
После атаки хакеры заявили, что получили полную историю перелетов, скомпрометировали критические корпоративные системы, получили контроль над рабочими станциями сотрудников вплоть до топ-менеджмента, скопировали записи телефонных разговоров и данные из систем видеонаблюдения и контроля персонала. Они опубликовали скриншоты из внутренней сети, аудиозаписи переговоров, внутренние документы (включая стратегию по информационной безопасности «Аэрофлота») и еще больше трех гигабайтов данных, вплоть до медицинских карт пилотов.
Среди похищенных документов The Bell отмечает наличие материалов о «некоммерческих рейсах авиакомпании», включая документ с подписью представителя Минобороны, в котором говорится о военных перевозках — при том что «Аэрофлот» позиционирует себя как исключительно гражданского перевозчика, который не имеет никакого отношения к войне.
После атаки сотрудники авиакомпании еще несколько месяцев были вынуждены решать многие рабочие задачи (такие как составление графиков пилотов) в ручном режиме. Данные можно было восстановить из бэкапов, но часто было непонятно, какую резервную копию надо брать: она могла содержать вредоносный софт, запущенный хакерами.
В восстановлении инфраструктуры «Аэрофлота» и расследовании атаки помогали представители «Лаборатории Касперского», компаний «Бастион», «Солар», BI.ZONE (это все IT-подрядчики «Аэрофлота»), а также специалисты ФСБ, МВД и Следственного комитета. Публично компания заявила лишь о «сбое в работе информационных систем», подробностей случившегося не знали даже большинство ее сотрудников.
The Bell пишет, что кибербезопасностью «Аэрофлота» занимались сразу несколько крупных компаний. Уязвимостей в его системе оказалось очень много. Некоторые из них были неизбежны, учитывая масштабы сети. Но были и системные ошибки.
Проникновение хакеров в сеть «Бакка Софт» выявили еще в январе 2025 года — за полгода до атаки на «Аэрофлот». Их оттуда «выбили», но никаких дополнительных мер безопасности не приняли — и в мае хакеры смогли вернуться.
Сам взлом, как отмечают источники The Bell, был довольно заурядным: использовался стандартный инструментарий, хакеры добились успеха не благодаря какой-то особенной изобретательности, а благодаря осторожности, последовательности и дисциплине.
Помогло им и то, что система кибербезопасности «Аэрофлота» до атаки была в значительной степени дезорганизована. Ею занимались две структуры: департамент информационной безопасности и аппарат заместителя гендиректора по информационным технологиям и информационной безопасности. У них разные бюджеты, они работают с разными подрядчиками.
При этом на информационную безопасность «Аэрофлот» тратит значительные суммы: за 2024 год — 858,8 миллиона рублей. Крупнейшими подрядчиками являются компании «Бастион» (сооснователь — Борис Королев, сын главы службы экономической безопасности ФСБ), «Солар» (принадлежит «Ростелекому»), «Лаборатория Касперского», BI.ZONE (входит в «Сбер»). Наибольшую роль играет «Бастион» — в частности, с последствиями первого взлома «Бакка Софт» в январе разбирался именно он.
До сих пор неясно, изменил ли «Аэрофлот» свою политику кибербезопасности — и если да, то как именно.
по материалам meduza
Comments
There are no comments yet
More news
