Ночью с 27 на 28 июля в «Аэрофлоте» произошло событие, последствия которого уже называют катастрофическими. Тысячи пассажиров застряли в аэропортах Москвы, Санкт-Петербурга и др. городов. Сотни рейсов отменены, сотрудники авиакомпании не могут выполнять свои задачи, самолёты стоят без заправки. И это только самые первые последствия кибератаки, ответственность за которую взяла на себя группа «Киберпартизаны» (BY) при участии украинских хактивистов. Отложенный эффект атаки может оказаться не менее разрушительным.
Киберпартизаны утверждают, что находились внутри корпоративной сети «Аэрофлота» целый год. И завершили операцию полным уничтожением его IT-инфраструктуры.
⸻
1. Хакеры в сердце системы
Атака длилась больше 12 месяцев. Хактивисты постепенно расширяли своё влияние, обходили средства защиты и проникали всё глубже — вплоть до Tier0, ядра всей цифровой инфраструктуры компании.
Один из представленных скриншотов показывает доступ к Active Directory (AD) — это центральная система управления доступом во всей компании. Через неё регулируется, кто и к каким ресурсам может обращаться, какие права у сотрудников, где они могут хранить данные, какие действия им разрешены.
По правилам безопасности доступ к AD имеют лишь несколько старших администраторов, но хакерам удалось взять её под контроль.
Скриншот с сервера Active Directory подтверждает доступ к домену msk.aeroflot.ru и учетным записям критических систем:
• afi_rpa_od, afi_repair, afi_rpa — автоматизация процессов;
• aflcarm-monitoring, aflcarm-pkd-test — системы внутреннего мониторинга;
• afi.crew, afi.api-pnr — управление экипажами и данными о пассажирах.
Это — ключевые системы любой авиакомпании. Своеобразные нейроцентры, в которых сходятся сигналы от десятков служб и департаментов. Именно эти службы отвечают за направления и организацию полётов, за очерёдность посадок, за стыковки между рейсами, чтобы багаж летел в ту же страну, что и сам пассажир…
Без координации этих систем никто никуда не полетит. Но это только полбеды. Без координации этих систем самолёт может не долететь, например, из-за того, что ошиблись с длиной маршрута и залили меньше топлива.
На втором скриншоте — панель виртуализации ZVirt, в которой управляются десятки серверов. Это как большой серверный «конструктор», где каждая виртуальная машина выполняет важную функцию: хранит данные, отвечает за почту, работу внутренних систем, проверку безопасности и т.д.
⸻
2. Что было взломано: понятным языком.
Хакеры заявили о полном контроле над:
• 122 гипервизорами — это компьютеры, на которых запускаются десятки виртуальных машин (как квартиры в большом доме).
• 43 установками ZVirt — платформа для управления виртуальными машинами.
• 4 кластерами Proxmox — ещё одна система управления серверами.
• Около 7000 физических и виртуальных серверов.
Они получили доступ к:
• CRM (Customer Relationship Management) — система работы с клиентами: бронирование, обращения, история перелётов.
• ERP (Enterprise Resource Planning) — система управления внутренними ресурсами: бухгалтерия, логистика, зарплаты, закупки.
• CREW и Sabre — критически важные модули для планирования маршрутов, управления экипажами и расписанием.
• 1С — российская бухгалтерская система, также используемая для расчётов и документооборота.
• Exchange и SharePoint — электронная почта и общий документооборот.
• DLP (Data Loss Prevention) — система защиты от утечки данных. Была скомпрометирована — и не смогла остановить атаку.
• КАСУД и Sirax — специализированные авиационные системы расчётов и контроля операций.
Даже компьютеры сотрудников, включая топ-менеджеров, оказались под внешним управлением. Это означает, что хакеры могли следить за действиями, прослушивать разговоры, скачивать документы – и этого никто не замечал в течение долгого времени.
⸻
3. Беспрецедентность атаки: в мире такого ещё не было?
Ни один современный случай кибератак на инфраструктуру (в том числе инциденты в США и Европе) не приводил к полному уничтожению всей цифровой экосистемы.
Сравните:
• Colonial Pipeline (2021) — остановка нефтепровода на несколько дней из-за выкупа;
• Norsk Hydro (2019) — атака на алюминиевую промышленность, ущерб — $70 млн;
• NavBlue (2023) — сбой в системе планирования маршрутов Airbus, но данные и системы были восстановлены.
А в случае «Аэрофлота» — системы не просто «сбойнули». Они оказались удалены.
💬 «Мы сидим с пилотами два часа в самолёте и не можем вылететь. Не можем даже заправить борт — всё через IT», — рассказывает одна из стюардесс.
Во многих офисах и технических зонах отключили электричество, чтобы сотрудники не могли включить компьютеры. Рабочие компьютеры заблокированы. Корпоративная почта запрещена.
Вся связь с руководством переведена в Telegram.
Это — беспрецедентный случай. Настолько масштабного исчезновения данных в мире ещё не случалось.
⸻
4. Утечка данных: кто летал — уже в базе
Хакеры заявили, что выгрузили и сохранили:
• 12 терабайт (ТБ) — базы данных с историей перелётов, маршрутами, пассажирами;
• 8 ТБ — документы и файлы с общих папок Windows;
• 2 ТБ — почтовая переписка сотрудников;
• а также записи телефонных разговоров, системы наблюдения и слежения за персоналом.
Это означает, что данные всех пассажиров, летавших «Аэрофлотом» оказались где-то вне системы. ФИО, маршруты, телефоны, электронные билеты — всё, что было в базах, теперь в руках киберпартизан.
Госпропаганда влияет на умы населения с помощью искажения фактов и подтасовки данных. А киберпартизаны рассекречивают реальные данные и вычисляют скрытое. Именно так с помощью анализа билетов, совместных перелётов, бронирования и т.п. были вычислены отравители Навального и Кара-Мурзы. Вероятно, что в руках OSINT-исследователей, таких, как Христо Грозев, скоро появится инструмент, о котором можно было лишь мечтать.
💬 «Ваши персональные данные тоже отправились в путешествие — правда, в один конец», — язвят хакеры.
Отдельно стоит отметить, что Аэрофлот практиковал прослушивание разговоров в помещениях и телефонных звонков своих сотрудников. Это не афишировалось, но приводило к скандалам внутри компании. Тысячи часов подобных записей также отправились «с багажом» на экспорт — и этот факт ещё предстоит оценить. ФБК наверняка в состоянии это сделать в самое ближайшее время.
⸻
5. Будущее: восстановится ли «Аэрофлот»?
Даже если бы у «Аэрофлота» были резервные копии (что неизвестно), восстановление тысяч машин, связей между ними, проверка их на вредоносный код, перезапуск серверов — может занять недели, если не месяцы.
Ущерб оценивается в десятки миллионов долларов. Но в условиях санкционного давления на Россию может всплыть ещё один нюанс.
Использование ПО иностранной разработки — нормальная практика в любой стране. Но не там, где ведут войну со всем НАТО и имеют претензии на сверхдержавное господство. Продукция Microsoft официально не поддерживаемая в России, тем не менее активно используется Аэрофлотом.
Да, украсть новое программное обеспечение Аэрофлот сумел. Но сумеет ли он добиться поддержки Microsoft для проведения необходимого расследования? Для любой другой компании, использующей официальный продукт и пострадавшей от взлома, Microsoft предоставил бы информационно-техническую поддержку как для расследования инцидента, так и для ликвидации уязвимости. Но станут ли эксперты Microsoft помогать в расследовании «Аэрофлоту» – большой вопрос.
⸻
Заключение
Это первая в истории атака, уничтожившая «цифровое сердце» национального авиаперевозчика.
Её подготовка длилась год.
Её последствия — могут ощущаться годами.
Гойдаааа!