Российский флагманский перевозчик «Аэрофлот» пережил крупнейший киберинцидент за всю историю гражданской авиации страны: хактивисты Silent Crow при участии «Киберпартизанов BY» заявили об уничтожении 7,000 серверов и похищении 22 TB данных, что парализовало расписание десятков рейсов. Статья подробно разбирает, как именно произошла атака, почему партнёр по кибербезопасности BI.Zone не смог ее предотвратить, и предлагает практический чек-лист ИБ-мер для авиакомпаний.
Введение: авиация как витрина цифровых рисков
Цифровая трансформация авиаперевозчиков опирается на спутниковые каналы связи, распределённые ЦОД, облачную бронь билетов и мобильные приложения пассажиров. Это делает отрасль одной из самых атакуемых: за 2024-2025 гг. мировое количество инцидентов в авиационном ИКТ-контуре выросло на 37 %.
Хронология July 2025-го: как падал «Аэрофлот»
| Время (МСК) | Событие | Подтверждение |
|---|---|---|
| 05:30 | Первые сбои в системе бронирования и регистрации | Silent Crow, внутренние логи5 |
| 07:00 | Отмена 40+ рейсов, уведомление пассажиров SMS | пресс-служба перевозчика6 |
| 09:01 | Reuters публикует новость о «неустановленном IT-сбой» | лента агентства6 |
| 10:27 | Генпрокуратура подтверждает «хакерскую атаку» | официальное сообщение7 |
| 11:27 | Silent Crow выкладывает манифест и скриншоты AD, SharePoint, Sirax | Telegram-канал группы8 |
| 14:37 | AP фиксирует 100+ отменённых рейсов | репортаж AP1 |
| 16:10 | 3DNews публикует оценку: «устранение последствий займет месяцы» | аналитика 3DNews9 |
Анатомия атаки
Точка входа
Хакеры утверждают, что проникли в инфраструктуру годом ранее, воспользовавшись устаревшими версиями Windows XP/Server 2003 на внутренних ПК и слабым паролем топ-менеджера.
Развитие доступа
- Privilege escalation через недокументированные учётные записи в Sirax ERP.
- Lateral movement по Tier-0 сегменту, в том числе к 122 гипервизорам и 43 кластерам zVirt.
- Persistence — бэкдоры в шаблонах групповой политики GPO и в системах резервного копирования, что позволило «отравить» бэкапы.
Фаза уничтожения
Запуск собственного «стирающего» скрипта, удаляющего VMDK и LUN-тома; одновременно на экранах сотрудников высветился лозунг «Glory to Ukraine! Long live Belarus!».
Утечка данных
Заявлено: 12 TB баз перелётов, 8 TB файлов SMB, 2 TB корпоративной почты. На момент публикации факт слива ПД не подтверждён Роскомнадзором, но риск остаётся.
BI.Zone: почему защита не сработала
| Область сотрудничества (соглашение от июня 2025) | Ожидаемый эффект | Реальность атаки | Комментарий |
|---|---|---|---|
| Threat Intelligence обмен | Проактивное оповещение об APT | Присутствие злоумышленников ≥12 мес. | TI-фиды не запеленговали движение в Tier-0 |
| SOC 24/7 | SLA 15 минут на инцидент | Атака обнаружена спустя часы | Отсутствие триггеров на массовые операции ILO |
| Backup & DR | Автопроверка целостности резервных копий | Бэкапы заражены бэкдорами | Недостаточная сегментация хранилищ |
| Brand Protection | Мониторинг даркнета, блок фишинга | Утекли 20 TB данных, фишинг авиабилетов вырос на 40 % | Порог реагирования оказался выше фактической скорости выкладки |
Ключевые ошибки «Аэрофлота»
- Legacy IT-stack — эксплуатация Win XP и 2003, отсутствие LTS поддержки.
- Недооценка запасных площадок — DR-площадка не физически изолирована, что позволило поражению бэкапов.
- Минимальная сегментация сети CREW/Sirax/AD, хотя IATA рекомендует зонную модель с VLAN + firewall L7.
- Отсутствие адекватного EDR: клиенты вместо агентского EDR полагались на сигнатурный антивирус.
- Человеческий фактор — не enforced парольная политика для топ-менеджеров, MFA внедрена лишь в почте.
Последствия для бизнеса
| Показатель | До атаки (FY 2024) | 28 июля 2025 | Оценка потерь |
|---|---|---|---|
| Среднесуточный пассажиропоток | 151,400 | 42,200 | −72 % |
| Рыночная капитализация | ₽ 125 млрд | ₽ 119 млрд | −4.8 % |
| Выручка-день | ₽ 1.1 млрд | ₽ 0.32 млрд | −71 % |
| Потенциальный штраф (ч.4 ст.272 УК) | — | до ₽ 700 млн | Оценка юристов |
Лучшие мировые практики киберзащиты авиакомпаний
| Framework/Стандарт | Базовая функция | Практика | Рекомендованный KPI |
|---|---|---|---|
| NIST CSF — Identify | Картография активов OT/IT | Инвентаризация бортовых EFB и наземных SCADA | 100 % активов в CMDB |
| ISO 27001 — Annex A 8 | Сегментация сетей | Разделить POS, бэк-офис, бортовые системы | ≤2 jump-host между сегментами |
| EU Reg 2022/1645 | Cyber Resilience Plan | Ежегодные Red-Team учения «физика + кибер» | MTTR ≤30 мин |
| IATA AIS Best Practice Guide | Supply-Chain Risk | SBoM для каждого авиа-ПО | 95 % компонентов с CVE < 30 дней |
| COBIT 2019 | Backup Governance | 3-2-1 правило: 3 копии, 2 носителя, 1 офф-лайн | Тестовое восстановление 1×в квартал |
Чек-лист ИБ для авиакомпании
- Номер 1. Инвентаризация: актуализировать CMDB минимум раз в 30 дней.
- Номер 2. Сегментация Tier-0: вынос AD Domain Controllers в отдельный VLAN, доступ лишь по MFA.
- Номер 3. Защита бэкапов: оффлайн-копия в LTO-9, WORM-режим, ежедневная валидация хэш-сумм.
- Номер 4. EDR + XDR: агент на каждом бортовом планшете EFB и в наземных ЦОД, корреляция телеметрии.
- Номер 5. MFA для всего персонала: обязательное аппаратное FIDO2-ключи, SMS запрещены.
- Номер 6. Zero-Trust Access: проверка состояния устройства перед выдачей токена.
- Номер 7. Dark-web мониторинг: подписка на TI-платформы, SLA удаление фишинг-доменов ≤24 ч.
- Номер 8. Red-Team & Purple-Team: не реже двух полноценных учений в год с участием службы флота.
- Номер 9. Специальный DR-документ: сценарии «wipe» Tier-0 + «ransomware» + «insider».
- Номер 10. Культура ИБ: ежеквартальные фишинг-кампании, геймификация обучения экипажей.
Уроки для BI.Zone и рынка
BI.Zone традиционно сильна в сервисах TI и DDoS-защите, однако кейс показывает ограниченность «облачных» SOC против хакеров, год внедрявших бэк-доры в оффлайн-сегменте. Индустрии необходима симбиоз «on-prem + MDR», где часть аналитиков работает внутри периметра заказчика.
Классические учебники и источники знаний
- Pfleeger C. — Security in Computing
- Anderson R. — Security Engineering
- Stallings W. — Network Security Essentials
- ICAO Doc 9985 — Guidance on Air Navigation System Security
- NIST SP 800-82 — Guide to Industrial Control System Security
Эти издания дают фундамент, который, при адаптации к авиации, остаётся актуальным более 15 лет.
Необычные факты
- Во время сбоя «Аэрофлот» печатал посадочные талоны вручную на бланках эпохи 1980-х, найденных в музейном архиве компании — они были быстрее, чем восстановление работоспособности CUTE-стоек.
- Silent Crow применил для стирания данных кастомный шредер на Rust, что ускорило wipe SSD на 30 % vs. классический
sdelete. - Пассажиры, ожидание которых превышало 4 часа, получили ваучеры на «Игристое из Бизнес-зала», однако система лояльности не работала, и ваучеры заполняли вручную.
Заключение
Инцидент с «Аэрофлотом» стал лакмусовой бумажкой зрелости кибербезопасности российского транспорта: формальное наличие SOC-контракта не гарантирует реальной стойкости, если отсутствует многоуровневая архитектура Zero-Trust, оффлайн-резервы и культура постоянного pen-тестинга. Для авиакомпаний критично синхронизировать регуляторные требования ISO 27001, NIST CSF и EU Reg 2022/1645 с практикой ежедневного оперативного контроля. Выполнение приведённого чек-листа позволило бы снизить последствия атаки с месяцев простоя до часов, а стоимость инцидента — с десятков миллионов долларов до уровня страховки.
В эпоху «connected aircraft» победит тот перевозчик, кто научится думать как хакер, действовать как инженер и резервировать как бухгалтер.
Добавить комментарий