Утром 28 июля авиакомпания «Аэрофлот» столкнулась с масштабным сбоем, который привел к отмене десятков рейсов и фактически парализовал ее работу. Пассажирам, купившим билеты, было рекомендовано не приезжать в аэропорты. Вскоре после инцидента хакерские группировки Silent Crow и «Киберпартизаны Белоруссии» заявили о своей причастности к атаке. По их утверждениям, им удалось похитить 12 терабайт данных, получить полный контроль над компьютерами сотрудников, полностью скомпрометировать все критические корпоративные системы и уничтожить их. В этой статье мы детально рассмотрим обстоятельства этой атаки и постараемся выяснить, кто стоит за этими группировками.
Подробности кибератаки на «Аэрофлот», заявленные хакерами
«Успешное проникновение во многом стало возможным из-за пренебрежения некоторыми сотрудниками компании элементарными правилами безопасности», — такое заявление появилось в Telegram-канале «Киберпартизанов Белоруссии».
По словам киберпреступников, после проникновения в инфраструктуру авиакомпании они в течение года планомерно продвигались по ней с целью полной компрометации. Они также отметили, что устаревшие версии операционных систем Microsoft — Windows XP и 2003, используемые «Аэрофлотом», способствовали их проникновению.
Кибератака началась в ночь с 27 на 28 июля. К раннему утру мы уничтожили свыше семи тысяч серверов и рабочих станций, базы данных и внутренние системы. Все данные затерты особым инновационным алгоритмом.
Хакеры также заявили, что им удалось вывести на экраны рабочих компьютеров «Аэрофлота» надписи оскорбительного характера, часто используемые в проукраинской пропаганде.
По их словам, они до сих пор имеют доступ к корпоративной почте сотрудников авиакомпании и могут прослушивать переговоры высшего руководства.
Однако информация об утечке персональных данных пассажиров пока не получила подтверждения. В Роскомнадзоре заявили, что «утечка персональных данных клиентов `Аэрофлота` пока не подтверждается».
Кто стоит за атакой на «Аэрофлот»?
Две хакерские группировки, «Киберпартизаны Белоруссии» и Silent Crow, взяли на себя ответственность за сбой в работе «Аэрофлота». Эти группы регулярно сообщают о значительных успехах в противостоянии с Россией в цифровой сфере, однако стоит отметить, что их заявления не всегда находят независимое подтверждение.
В последние месяцы «Киберпартизаны Белоруссии» проявляли меньшую активность, сосредоточившись в основном на расследовании исчезновения Анжелики Мельниковой, спикера оппозиционного Координационного совета Белоруссии, которая пропала в марте 2025 года в Варшаве. Этот случай породил множество конспирологических теорий о ее возможной измене белорусской оппозиции. Еще одно направление их работы — создание списка граждан Белоруссии, участвующих в специальной военной операции на Украине на стороне России.
Silent Crow — это проукраинская группировка, ранее утверждавшая о взломах «Ростелекома» и около сотни других крупных российских компаний. Однако эти заявления неоднократно ставились под сомнение экспертами по информационной безопасности. Представляемые хакерами данные в качестве доказательств либо не содержали конфиденциальной информации, либо относились к подрядчикам, а не к самим заявленным жертвам взлома, либо являлись компиляциями из ранее произошедших утечек.
«И в этом случае группировка отметилась целым рядом громких заявлений: они утверждали, что находились в инфраструктуре целый год, имели максимальный доступ, скомпрометировали все критические системы, скачали 12 терабайт данных, включая всю информацию о перелетах. А затем, по их словам, уничтожили всю инфраструктуру компании, насчитывающую семь тысяч физических и виртуальных серверов, — отметил авторитетный Telegram-канал T.Hunter. — Однако, скорее всего, бравада этих взломщиков сильно отличается от реального положения дел».
Президент компании «ИнфоВотч» Наталья Касперская также выразила сомнение в причастности хактивистов из Silent Crow к взлому. По ее мнению, пока преждевременно делать выводы о том, кто на самом деле стоит за этой атакой.
Это могли быть, например, спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять — это одно, а реально взламывать — другое.
Предыдущее заявление Silent Crow о крупном взломе появилось 20 июля после почти четырехмесячного затишья. Тогда хактивисты утверждали, что получили полный доступ к данным о жителях Москвы и Московской области из ЕМИАС.
«Мы получили административный контроль над всей инфраструктурой одного из крупнейших операторов персональных данных, включая контроллеры домена, гипервизоры и базы данных. Общий объем выгруженных данных составил около 17 терабайтов», — заявляли взломщики, приложив к сообщению образец данных.
Однако после этого они не возвращались к теме взлома ЕМИАС, и дополнительные массивы данных так и не были опубликованы.
Последствия для «Аэрофлота»
С утра специалисты «Аэрофлота» активно работают над устранением последствий взлома, который привел к отмене десятков рейсов. В авиакомпании сообщили, что проводится вынужденная корректировка расписания, включающая частичную отмену рейсов. По информации, ситуация остается критической: выполняются только те рейсы, по которым полетные расчеты были подготовлены заранее.
Сотрудник «Аэрофлота» рассказал о хаосе: «Я пришел на работу, но мы не можем распечатать планы полетов, никто ничего не знает. Я даже не могу найти номер экипажа, не созвониться с капитаном, я не знаю, где он, он не знает, где я. Самолеты все стоят, руководство не имеет информации: где самолет, кто летит, куда летит, номера экипажей. Короче, вообще ничего нет».
К сожалению, в текущих политических реалиях и в условиях нарастающего противостояния с Западом мало надежды, что атаки прекратятся. Скорее всего, атаки на критическую инфраструктуру нашей страны будут только нарастать.
По имеющейся информации, всем сотрудникам «Аэрофлота» было запрещено пользоваться корпоративной почтой и рабочими компьютерами. Для связи с экипажами им было предложено использовать мессенджер Telegram.
Эксперт по информационной безопасности Алексей Козлов высказал мнение, что восстановление систем «Аэрофлота» может занять до полугода, а полная стабилизация — до года. Он отметил, что точные сроки зависят от масштаба разрушений инфраструктуры и наличия актуальных резервных копий данных. Ущерб от кибератаки Козлов оценил в диапазоне от 10 до 50 миллионов долларов.
может составить оценочный ущерб от кибератаки на «Аэрофлот»
Об отмене десятков рейсов «Аэрофлота» стало известно утром 28 июля. Отмена коснулась как вылетающих, так и прилетающих в Москву рейсов. В числе пострадавших оказались пассажиры, планировавшие перелеты в Астрахань, Грозный, Екатеринбург, Ереван, Калининград, Казань, Минеральные Воды, Санкт-Петербург, Ставрополь, Сочи и другие города.
