«Это продолжение украинской стратегии по парализации наших транспортных систем. Они с Нового года целенаправленно занимаются этим», — рассуждают эксперты «БИЗНЕС Online» о сегодняшнем массовом сбое в аэропорту Шереметьево. Сегодня авиакомпания «Аэрофлот» отменила свыше 40 рейсов. Ответственность за случившееся взяли на себя хакерские группировки. По их заявлению, им удалось получить доступ к 12ТБ баз данных, а также уничтожить часть физических и виртуальных серверов. О том, что действительно стоит за этой атакой и как не допустить ее повторения, — в материале «БИЗНЕС Online».
Первое заявление от авиакомпании «Аэрофлот» вышло в 7:43. В сообщении компания уточнила, что в работе информационных систем произошел сбой
С чего все началось?
Утро в московском аэропорту Шереметьево началось с нового коллапса в связи с задержкой рейсов. В последнее время аэропортам Москвы приходится сталкиваться с этим довольно часто. Последний коллапс, к примеру, был неделю назад, причиной тому стали ограничения на взлет и посадку после атак БПЛА. Сегодняшняя же ситуация сложилась несколько иначе.
Первое заявление от авиакомпании «Аэрофлот» вышло в 7:43. В сообщении компания уточнила, что в работе информационных систем произошел сбой. Вроде бы ничего страшного, но спустя несколько часов авиакомпания отменила 42 рейса, а спустя некоторое время цифра выросла до 54. Самолеты должны были вылететь в Астрахань, Грозный, Калининград, Ереван, Минеральные Воды, Минск, Мурманск, Омск, Оренбург, Орск, Пермь, Самару, Сочи, Санкт-Петербург, Тюмень, Уфу и Челябинск. В их числе оказался и один рейс в Казань. «Аэрофлот» попросил покинуть аэропорт пассажиров, кому отменили рейсы, «во избежание образования скопления пассажиров». Сегодня пассажирам не удалось переоформить и вернуть билеты в кассы аэропорта, они смогут это сделать лишь в ближайшие 10 дней.
Ответственность за массовый сбой в системе взяла на себя хакерская группировка. Свою причастность Silent Crow подтвердили в своем телеграм-канале. «Вместе с коллегами из „Киберпартизанов BY“ заявляем об успешном проведении продолжительной и масштабной операции, в результате которой была полностью скомпрометирована и уничтожена внутренняя IT-инфраструктура „Аэрофлота“», — заявили они в своем сообщении.
Группа хакеров «Киберпартизаны BY» сформировалась еще в 2020-м в Беларуси после масштабных протестов в стране. К примеру, в 2022-м «Киберпартизаны BY» взломали и заблокировали доступ к серверам Белорусской железной дороги и выдвинули требования об освобождении 50 политзаключенных. Кроме того, группа распространяла в сети личные данные силовиков и сотрудников правительства, которых считала виновными в нарушении прав человека во время протестов 2020 года. Также хакеры взяли на себя ответственность за атаку на подведомственный Роскомнадзору главный радиочастотный центр в 2022-м. Результатом стали зашифрованные серверы и выгруженные 2 ТБ внутренних документов организации. Спустя год хакеры заявили о взломе крупнейшего белорусского государственного информационного агентства «БелТА».
Группировка Silent Crow заявила о себе после взлома базы Росреестра и получения доступа к данным единого государственного реестра недвижимости в январе этого года. Результатом взлома стал доступ к 2 млрд строк и около 1 ТБ информации с личными данными россиян. Кроме того, Silent Crow взяла на себя ответственность за утечку из «Ростелекома». Спустя месяц группировка выложила в открытый доступ фрагмент базы данных, который, по ее сведениям, принадлежит департаменту информационных технологий Москвы. Также Silent Crow заявляла о взломе компаний «Киа Россия и СНГ», «АльфаСтрахование-Жизнь» и «Клуба клиентов Альфа-Банка».
Хакеры уточняют, что внутри корпоративной системы они находились на протяжении года. По их словам, им удалось получить доступ на 12ТБ баз данных — 8ТБ файлов с Windows Share, 2ТБ корпоративной почты, также якобы получилось уничтожить около 7 тыс. физических и виртуальных серверов.
С официальным сообщением выступила и авиакомпания. «Пассажирам отмененных рейсов будет доступен возврат денежных средств или переоформление билетов после возобновления работы сервисов авиакомпании», — подчеркнули там.
Версию о хакерской атаке подтвердила и Генпрокуратура России. «Организованы надзорные мероприятия в связи с задержкой и отменой рейсов в аэропорту Шереметьево. Причиной стал сбой в работе информационной системы „Аэрофлота“ в результате хакерской атаки», — сообщили в ведомстве. Надзорный орган возбудил уголовное дело по ч. 4 ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»).
Сегодня пассажирам не удалось переоформить и вернуть билеты в кассы аэропорта, они смогут это сделать лишь в ближайшие 10 дней
«Один вопрос: кто виноват?»
По сообщению телеграм-канала «Авиаторщина», сотрудникам компании запретили пользоваться корпоративной почтой и рабочими компьютерами «из-за серьезной атаки». «Сами сидим в самолете уже два часа в неизвестности с пилотами и всем техническим персоналом, заправить самолет топливом даже не можем без компьютерной системы», — приводит телеграм-канал слова одной из стюардесс.
Авторы канала «Навстречу трансферу» сетуют на ошибки при цифровизации. «Ситуация наглядно подтверждает ошибки, а вернее, вредительство тех чиновников и политиков, которые убеждают нас в надежности защиты данных, в том числе персональных, в необходимости отказа от бумажных свидетельств собственности и трудовых книжек и прочей биометрии», — пишет канал.
«Канал визионера» нынешнюю ситуацию называет новым витком эскалации между Россией и Украиной. «Война против гражданской транспортной инфраструктуры, начатая этим летом Киевом, получила новый толчок. Новый виток эскалации, на который у Кремля, судя по всему, только один ответ — усиление давления на ЛБС. Где оборона ВСУ уже трещит по всем швам. Страдания обычных граждан России в связи с войной на Украине тем временем этим летом неуклонно увеличиваются», — пишет автор канала.
«Хороший „Аэрофлот“ был наследием лихих нулевых наряду со светофорами с обратным отсчетом, пропусканием пешеходов на зебрах и прочими попытками навязать приоритет индивидуального комфорта над мятущимся коллективным бессознательным», — рассуждает президент фонда «Петербургская политика» Михаил Виноградов в своем телеграм-канале.
Политолог Марат Баширов считает, что перед менеджерам авиакомпании и минтрансом сейчас стоит «непростая задача». «Однако вопрос: кто виноват? И не говорите, что никто», — пишет он в своем канале «Политджойстик».
«К тем, кто занимался мониторингом, скажем так, реагированием на кибератаки, основные вопросы. Другие вопросы к тем, кто проверял «Аэрофлот» на защищенность»
«Ущерб? Думаю, уж точно миллиарды»
По просьбе «БИЗНЕС Online» эксперты прокомментировали атаку на «Аэрофлот» и рассказали об ущербе для компании и выводах, которые должны быть сделаны.
Антон Бочкарев — эксперт по информационной безопасности, сооснователь компании «Третья сторона»:
— Пока ни у кого, кроме пострадавшей компании, нет данных о том, как именно была организована хакерская атака. Скорее всего, в ближайшее время никаких публичных данных и не появится. Подобные атаки уже случались. Речь идет об атаке с «шифровальщиком», которая приводит к остановке деятельности компании. Один из последних примеров — это компания «Винлаб». Широко известен и кейс CDEK, хотя он так и не признал факт атаки, в отличие от «Винлаба».
Это пример, когда злоумышленники достаточно длительное время взламывают компанию, получают доступ к ключевым критическим ресурсам, а дальше происходит шифрование данных для того, чтобы остановить деятельность. Дальше хакеры либо просят выкуп, либо свою задачу они уже выполнили — нанесли ущерб. Второе — это, по сути, кибертерроризм. Почему говорю о шифровании? Потому что в настоящее время нет других способов надолго остановить работу компании, кроме как зашифровать ее ключевые данные. Такая длительная задержка в работе может быть обеспечена только этим.
Я бы не стал доверять заявлению организаторов атаки о том, что была полностью скомпрометирована и уничтожена внутренняя IT-инфраструктура «Аэрофлота». Да, они выложили какие-то скриншоты, цифры. Но зачем доверять тем, кто ставит своей целью хайпануть, привлечь внимание к своей политической позиции? Они, очевидно, могут преувеличивать свои масштабы, врать, а могут и правду написать. Но делать выводы из того, что они пишут, не стоит. Более точную информацию дает информация о состоянии компании.
Защита «Аэрофлота» не сработала? Идеальной защиты быть в принципе не может. Основные вопросы [должны быть заданы] компаниям, которые обеспечивали безопасность «Аэрофлота». Они сейчас на слуху, перечислять не буду. Но к тем, кто занимался мониторингом, скажем так, реагированием на кибератаки, основные вопросы. Другие вопросы к тем, кто проверял «Аэрофлот» на защищенность. В целом больше вопросов тут к подрядчикам, потому что своих достаточных компетенций у «Аэрофлота» нет. Могут быть вопросы и к менеджменту «Аэрофлота». Например, если в компании знали, что у них есть определенные участки, которые они не дают никому проверять, потому что там все плохо. Как именно «зашли» в «Аэрофлот», пока непонятно. Всегда остается фактор, конечно, инсайда и подкупа сотрудника. Но, как правило, это все же внешний взлом.
Ущерб? Думаю, уж точно миллиарды. Потому что авиакомпания — это такой бизнес, когда простой приносит гигантские потери. Не миллионы точно.
Какие выводы должны быть сделаны? Прежде всего будут выводы по итогам расследования. Очевидный вывод в том, что подрядчики и средства защиты, которые были внедрены, в какой-то степени не отработали. Возможно, сработал человеческий фактор, и люди не знали, что делать. Может быть, ставили средства защиты в угоду собственным интересам, а не для практической безопасности. По-разному бывает. Слабые места будут очевидны после расследования. Невозможно защитить на 100 процентов, но в такой большой компании не заметить атаку, которая остановила деятельность, достаточно сложно. Если бы это был слив одной конкретной базы данных или не работал какой-то отдельный сегмент, другое дело, часто может случаться. Но такой масштаб говорит о системных проблемах, которые нужно решать.
Олег Пантелеев — главный редактор агентства «АвиаПорт»:
— Атаки на инфраструктуру российских авиакомпаний ранее уже случались. Полноценно оценить масштабы данного события (атаки на «Аэрофлот» — прим. ред.) мы пока не можем, а ориентироваться лишь на заявления хакерских группировок некорректно. Выглядит все действительно серьезно, но давать какие-то оценки сейчас преждевременно. Мы можем лишь констатировать, что недавно представители прокуратуры квалифицировали это событие как последствие хакерской атаки и возбудили уголовное дело. Пройдет немало времени, прежде чем появится полная информация от компетентных органов.
Возникает вопрос в том, насколько эффективно была поставлена система копирования и хранения данных. Если необходимая глубина резервирования имеется, то в течение нескольких дней или недель можно будет восстановить все то, что было ранее сохранено. Но оценивать масштаб причиненного вреда сейчас не представляется возможным. Никаких официальных разъяснений по этому поводу пока не дают. Какие потери для «Аэрофлота»? До тех пор пока масштаб проблемы официально не озвучат, говорить о том, какие могут быть потери компании, преждевременно.
Вывод, который можно сделать, достаточно простой. Вопрос обеспечения кибербезопасности и защита от киберугроз — это не то, на чем можно сэкономить. Это одно из самых приоритетных направлений деятельности для IT-подразделений компании. Необходимо значительно повысить внимание к защите от подобного рода угроз и проводить масштабную работу по повышению грамотности сотрудников компании. Недостаточная цифровая гигиена отдельных специалистов и сотрудников зачастую приводит к серьезным последствиям.
«Это один из вариантов гибридных операций»
Влад Шлепченко — военный обозреватель:
— В целом это продолжение украинской стратегии по парализации наших транспортных систем. Они с Нового года целенаправленно занимаются тем, что наносят распределенные удары беспилотниками, притом с целью не добиться поражения, а добиться парализации. Это так называемые караваны дронов, как их уже назвали коллеги. Они запускаются с небольшим интервалом, в 10–20 минут, по несколько штук, летят, заходят в запретную для полетов зону. Соответственно, наши власти останавливают авиасообщение, приземляют все, что должно было вылететь, сбивают. Подтверждение передали, и в это время в запретку залетает следующий дрон. Эта кибератака ложится органично сюда, логика та же самая.
В данном случае, видимо, удалось найти какие-то уязвимости. Может, у них есть симпатизирующие в структурах «Аэрофлота», что не было бы удивительно. Есть основания предполагать, что в высокотехнологичных компаниях остались люди, которые симпатизируют Украине. Может быть, это просто халатное отношение или использование западного ПО. Но, в общем, логика понятна: перенести боевые действия на территорию России хотя бы в таком виде. А это как раз один из вариантов гибридных операций.
Если вы помните, в 2023 году аналогичным образом развивалась наша кибероперация. Тогда нашли уязвимость в серверах «Киев Стар» (это крупнейший украинский оператор сотовой связи), и их отрубили. Туда запустили вирус-шифровальщик, который зашифровал все данные без возможности восстановления. И в результате там произошел массовый коллапс. Упали банковские приложения, сотовые операторы, управление транспортом. В течение недели они жили фактически без нормальной сотовой связи. То есть, в принципе, такое возможно, но не факт, что хохлам это удалось сделать. Может быть, я не все знаю, но я не видел, чтобы они публиковали скрины админок. А если они прошли структуру серверов, то должны были видеть и админки. Соответственно, не было ничего проще, чем сделать скрины и выложить их в открытый доступ, как это сделали наши хакеры, когда поломали «Киев Стар». Посмотрим, насколько быстро спецы все восстановят. Если будут долгосрочные последствия в течение дней, недель, то, видимо, это не блеф.
Все это в очередной раз показывает, что в условиях войны очень аккуратно к своим данным нужно относиться, оставлять меньше следов. Для рядовых граждан это не имеет большого значения, а вот для тех, кто работает в медийке, волонтерском движении, обороне… Для них это очередной звоночек о том, что надо аккуратно пользоваться цифровыми сервисами, потому что такой взлом может привести к месту проживания, а дальше это вопрос ликвидации, который очень легко решается.
Логика «ответочек» — это ущербная логика, которая была запущена в прошлые годы неумелым пиаром и попытками чертить красные линии. Эти красные линии превращались в коричневые пятна. Когда там один из бывших министров заявлял, что если по Крыму ударят, то мы дадим серьезный отпор. Как показала практика, ударили, потом еще раз ударили, потом это стало рутиной, и что-то никто до сих пор не сгорел в пламени ядерной войны. Тоже из совбеза у нас высокопоставленные люди любят грозиться все время карами небесными. Но логика конфликта не подразумевает каких-то ответных операций. Это просто балабольство в информационном пространстве.
Константин Калачев — политолог, руководитель Политической экспертной группы:
— Это новый вид атак. Работа компании полностью парализована. На днях была полностью парализована [подобными хакерскими атаками] сеть алкомаркетов «Винлаб», торгующая напитками, они несколько дней не работали. Но это небольшая беда. А вот хакерская атака на главную авиакомпанию страны — это реальная беда. Потому что тысячи и десятки тысяч людей действительно страдают. Кто-то не может вылететь на отдых, кто-то застрял в аэропорту, кто-то не может получить деньги за обратный билет. И самое главное — репутация «Аэрофлота», который к тому же страдает из-за проблем с обслуживанием самолетов. Репутация «Аэрофлота», некогда одной из лучших авиакомпаний мира, может пострадать очень серьезно. Люди и без того начинают бояться летать на самолетах с учетом проблем с их обслуживанием, а тут еще и эти хакерские атаки. Поэтому ранее я такого не припомню.
Должен ли быть наш симметричный ответ? Ответ на этот вопрос просто не в моей компетенции. Мне кажется, что на самом деле Россия уже нанесла такой ущерб Украине, что, собственно говоря, на Украине самолеты не летают с самого начала специальной военной операции. Аэропорт Борисполь [в Киеве] стоит. Что еще можно предпринять? Новые дроны, новые ракеты? Мне кажется, все это уже происходит на пределе возможного. Ну, как говорится, за что боролись, на то, очевидно, и напоролись. То есть украинские хакеры находят возможность ассиметричного ответа на российские атаки. Все разговоры о том, что давайте, мол, сейчас бомбить кого-то… Да мы уже три года бомбим, чего там…
На самом деле выводы и уроки из всего этого следующие. Во-первых, у нас в последнее время было так много всяких экспериментов с интернетом, связанных с его блокировками, тренировками по блокировкам и так далее и тому подобное, что, возможно, какие-то бреши в «Рунете» появлялись в том числе и потому, что у нас крайне нестабильная ситуация. То мы одно блокируем, то другое. То у нас вообще сбой мобильного интернета, то сбой интернета обычного, то еще что-нибудь… То есть у нас на самом деле с интернетом творится что-то неладное. И может быть, не надо было все эти эксперименты проводить? Закручивая гайки, их можно перекрутить так, что, в конце концов, сам не сможешь воспользоваться нужной тебе вещью.
Во-вторых, наверное, проблема IT-безопасности должна решаться в том числе и соблюдением всех норм. Вот сейчас работникам «Аэрофлота» запретили пользоваться корпоративной почтой и рабочими компьютерами. То есть начнем с того, что специалисты по информационной безопасности сейчас должны быть в каждой компании. И они должны быть действительно специалистами, а не просто людьми, отбывающими свои часы на работе. А все остальное — это вопросы уже к ним. То есть отвечать на вопрос, каким образом можно противодействовать хакерским атакам, должны именно специалисты — айтишники. Но я все-таки думаю, что на самом деле эти все эксперименты, которые у нас постоянно проводит Роскомнадзор, все эти бесконечные действия, сопровождающиеся какими-то новыми проблемами, тоже, наверное, дают о себе знать. То есть не исключено, что какие-то бреши в системе безопасности мы сами себе организуем.
Эльдар Муртазин — владелец, ведущий аналитик Mobile Research Group, главный редактор Mobile-Review.com:
— С 2022 года атаки на российскую инфраструктуру идут без перерыва. Ответственность на себя берут украинские хакеры и организации. На самом деле это прикрытие для западных разведок, спецслужб и подразделений, деятельность которых направлена против России. А если говорить о масштабах, то с 2022 года масштаб атак резко вырос, они стали беспрецедентными. Во всех смыслах сегодня в интернете Россия испытывает давление, которого не было ни у одной страны мира. Бо́льшую часть атак удается предотвращать, но такие ситуации, как с «Аэрофлотом», возможны.
Да, это критическая инфраструктура, и сама ситуация крайне неприятна. Хакеры заявили, что вся инфраструктура компании уничтожена. Я не думаю, что это возможно. Скорее это один из элементов информационной войны. И это убытки для пассажирских авиаперевозок. Простой одного самолета — это десятки миллионов рублей, а таких самолетов в парке авиакомпании сотни.
Взявшие на себя ответственность хакеры заявили, что была полностью скомпрометирована и уничтожена внутренняя IT-инфраструктура «Аэрофлота». Такое возможно? Нет, невозможно. Это элемент информационной войны: запугать другую сторону, внушить ей, что она беззащитна. На практике это не так. Да, нашли какую-то уязвимость, атаковали, парализовали работу системы — это возможно. Но говорить о том, что разрушили навсегда, — нет. Срок восстановления может быть достаточно долгим. Но «Аэрофлот» летает, на безопасности полетов это не сказывается.
Физически что-то уничтожить практически невозможно, то есть серверы, IT-инфраструктура осталась. Работа по замене и поиску уязвимости системы может стоить компании от пары сотен миллионов до полутора миллиарда рублей. Все зависит от тяжести произошедшего, а мы этого еще не знаем. Есть другой эффект, которого добились нападающие, — это отмена или перенос рейсов. Здесь оценить ущерб можно. Примерно от 200 миллионов до 400 миллионов рублей в тот день, когда перекрывают тот или иной аэропорт. Еще нужно учитывать, какие аэропорты затронуты. На данный момент мы имеем эту ситуацию в Шереметьево и других аэропортах. Но целый ряд аэропортов не затронут, и рейсы выполняются.
Мы не знаем, каким именно образом злоумышленники проникли, потому что начинается спекуляция. Если мы говорим об IT-системах уровня таких корпораций, как «Аэрофлот», то это очень сложная система, которая состоит из множества разных программных компонентов. К ним имеют доступ тысячи пользователей. Вот дальше можно, используя уязвимость какого-то компонента или взломав какого-то сотрудника, получить частичный доступ к системе, дальше в нее проникнуть и так далее. Это большая и кропотливая работа, но при желании ее можно осуществить. Мы видели, как взламывали такую компанию, как Sony Group Corporation в Америке, и она была абсолютно беззащитной перед хакерами на тот момент. У «Аэрофлота» защита значительно лучше, но абсолютной защиты не бывает. Это еще одно подтверждение тому, что нужно прикладывать максимум усилий для защиты своих данных.
По этой ситуации никаких выводов делать не нужно по одной причине. Наша страна живет под беспрецедентным внешним давлением уже несколько лет, и все выводы об этом должны были быть сделаны еще в 2023 году. Соответственно, уровень инвестиций в защиту данных, сервисов, инфраструктуры у нас достаточно высокий. «Аэрофлот» не исключение. Они инвестируют большие деньги в кибербезопасность. На данный момент надо изучить, кто и как атаковал, найти все уязвимости, сделать так, чтобы все системы были защищены. Указ президента «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» был издан еще 1 мая 2022 года. До сих пор многие компании этим не занимаются или занимаются очень плохо. Но в целом драматизировать эту ситуацию точно не стоит.
Комментарии 36
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.