Аэрофлот под ударом: хакерская атака парализовала систему и отменила сотню рейсов

Реставрация части IT-инфраструктуры компании «Аэрофлот» после обширной кибератаки может занять до двух месяцев, а восстановление в целом — до года. Масштабный инцидент привел к отмене более ста рейсов, и для возобновления полетов компания пришлось мобилизовать свои ресурсы в аэропорту Шереметьево. Генпрокуратура надзирает за расследованием уголовного дела. Специалисты надеются, что ситуация улучшится к концу недели.

Утром 28 июля в структуре авиакомпании случился сбой. Непосредственно после этого два хакерских объединения — «Киберпартизаны BY» и Silent Crow — объявили о своем участии в «удачной долгосрочной операции», в результате которой была «полностью скомпрометирована и разрушена внутренняя IT-структура» «Аэрофлота». Впоследствии Генпрокуратура РФ подтвердила, что сбой был следствием кибератаки и уведомила о начале уголовного дела о незаконном доступе к компьютерной информации.

Отмена рейсов «Аэрофлота» из Москвы началась с полета в Екатеринбург, который был запланирован на 8:35. Несмотря на это, часть рейсов аэропорта «Россия» продолжала вылетать из Шереметьево, а «Аэрофлот» возобновил отправку рейсов с 14:00. Из 260 запланированных рейсов, 206 должны были быть выполнены. С 00:00 по 12:00 авиакомпания смогла осуществить лишь 76 рейсов из 123. По информации источника, близкого к компании, рейсы были продолжены благодаря использованию дополнительных ресурсов в Шереметьево. Представитель компании затруднился предсказать сроки окончательного восстановления систем. Сообщается, что если доступ к системам резервирования будет восстановлен в ближайшее время, то есть шанс на пoлную стабилизацию расписания до конца недели.

На момент публикации новостей в Минтрансе заявили, что в случае дальнейших отмен рейсов будут уменьшены числа полетов на многоповторяющихся маршрутах, где работают конкурирующие перевозчики, а также ведется работа по установлению справедливых цен на билеты. Для сотрудников «Аэрофлота» на территории аэропорта Шереметьево выделены дополнительные рабочие места.

Источник, близкий к Минтрансу, сообщил, что на данный момент нет ясности относительно окончательного масштаба ситуации и неизвестно, сколько времени потребуется для восстановления полной или частичной функциональности систем. По его мнению, информация о «полном уничтожении важного компонента IT-систем и данных» верна, однако он не предоставил подробностей о возможностях резервного восстановления. Другой источник из Минтранса подчеркнул отсутствие доказательств полного уничтожения IT-инфраструктуры. На момент исследования, к 16:00 28 июля в Шереметьево не наблюдалось очередей и транспортного хаоса.

Хакерская группировка Silent Crow провела атаку в 9 утра по московскому времени. Заявив, что они взломали корпоративную сеть авиакомпании и получили конфиденциальные данные о перелетах, скомпрометировали системы и скопировали информацию с серверов. Наследство этой атаки - уничтожение серверов и утечка 22 Тб информации.

Летом 2023 года, на ПМЭФ, «Аэрофлот» и «Ростелеком» подписали соглашение о кибербезопасности. Они планировали внедрять решения в сетевую инфраструктуру для обеспечения безопасности в Интернете, с участием специалистов компании «РТК-Солар».

После публикации, источники близкие к «Аэрофлоту», утверждали, что и другие компании помимо «Солар» работают над информационной безопасностью авиакомпании.

Роскомнадзор следит за ситуацией. Пока нет подтверждения о компрометации данных. Они ждут информации от «Аэрофлота» перед принятием решения о проверке.

Источник из Минтранса сомневается в утечке данных и возможном привлечении «Аэрофлота» к ответственности. Он предполагает, что расследование уголовного дела выявит возможные просчеты сотрудников по информационной безопасности и подрядных компаний. Прокуратура, транспортная полиция и ФСБ ведут расследование атаки. Если системы не были надежно защищены, руководство компании будет нести ответственность.

Профессиональный аналитик оценил, что компания может потерять около 275 млн руб. из-за отмены около сотни рейсов в июле. Это приведет к значительным финансовым убыткам, которые могут повлиять на прогнозные дивиденды. Другой эксперт считает, что эта оценка завышена, поскольку отмененные рейсы составляют всего лишь долю от общего числа ежеквартальных полетов авиакомпании. Кроме того, не все издержки при отмене рейсов являются постоянными.

Специалисты в области кибербезопасности отмечают, что происшедшая атака на инфраструктуру авиакомпании имеет признаки длительной и целенаправленной кибероперации, а не единичной атаки. Последствия таких действий могут быть сложно оценены из-за возможных государственных реакций на инцидент.

По мнению эксперта, восстановление после масштабной кибератаки может занять значительное время, включая восстановление критических IT-систем и настройку новых мер безопасности. Полная стабилизация инфраструктуры может потребовать до года, если резервные копии данных не доступны.