Хакерские группировки Silent Crow и «Киберпартизаны BY» сообщили о компрометации и уничтожении внутренней ИТ-инфраструктуры «Аэрофлота». В то же время авиакомпания рассказала о серьезном сбое в информационных системах, из-за которого были отменены десятки рейсов.
Silent Crow взяли на себя ответственность за взлом
В канале группировки Silent Crow появилось сообщение об успешном проведении продолжительной и масштабной операции, в результате которой, по их данным, была полностью скомпрометирована и уничтожена внутренняя ИТ-инфраструктура «Аэрофлота»:
«На протяжении года мы находились внутри их корпоративной сети, методично развивая доступ, углубляясь до самого ядра инфраструктуры — Tier0».
Сообщение в Telegram-канале группировки Silent Crow
По данным Silent Crow, получен доступ ко всем критическим системам, включая CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1С, DLP. Под контроль были взяты рабочие станции сотрудников, включая высшее руководство. Выгружены базы данных истории перелетов, скопированы данные с серверов прослушки (в том числе аудиозаписи и перехваченные коммуникации), а также данные из систем наблюдения и контроля за персоналом.
Также хакеры заявляют о получении доступа к 122 гипервизорам, 43 инсталляциям ZVIRT, около сотни iLO-интерфейсов и четырем кластерам Proxmox. По информации Silent Crow, в результате атаки было уничтожено около 7000 физических и виртуальных серверов. Общий объем полученных данных — 12 ТБ.
«Аэрофлот» это заявление пока не комментировал.
В работе ИС «Аэрофлота» произошел масштабный сбой
В это же время авиакомпания «Аэрофлот» сообщила о серьезном сбое в работе информационных систем, из-за которого были отменены десятки рейсов. Перебои затронули цифровые сервисы перевозчика, включая онлайн-регистрацию и бронирование.
В официальном Telegram-канале авиакомпании предупредили о возможных переносах и отменах рейсов:
«В работе информационных систем авиакомпании произошел сбой. Возможны перебои в работе сервисов. В связи с этим ожидается вынужденная корректировка в расписании выполняемых рейсов, в том числе путем переноса и отмены».
Сообщение в официальном Telegram-канале «Аэрофлот»
В этом же сообщении компании говорится: «В настоящее время команда специалистов работает над минимизацией рисков выполнения производственного плана полетов и скорейшего восстановления работы штатной работы сервисов».
Пассажирам отмененных рейсов предлагается забрать багаж в зале выдачи Шереметьево. Также авиакомпания просит их покинуть аэропорт во избежание скоплений. В связи со сбоем «Аэрофлот» предлагает оформить возврат денег или переоформить билет на рейсы в ближайшие 10 дней. Однако кассы в аэропорту временно не работают — все операции необходимо проводить онлайн или через контакт-центр.
После «Аэрофлот» разместил официальное сообщение, в котором говорится, «что в связи со сбоем в ИТ-инфраструктуре авиакомпания проводит вынужденную корректировку расписания полетов, в том числе путем частичной отмены рейсов».
«Убедительно просим пассажиров, а также представителей СМИ и администраторов ТГ-каналов не пользоваться недостоверной информацией о деятельности авиакомпании, публикуемой различными ресурсами. Вся корректная информация публикуется на официальных информационных каналах «Аэрофлота»».
Сообщение в официальном Telegram-канале «Аэрофлот»
В настоящее время отменено 54 парных рейса (туда-обратно) за 28 июля. Остальные 206 рейсов из запланированных на сегодня планируются к выполнению.
Реакция отрасли и власти
По факту сбоя в информсистеме «Аэрофлота» возбуждено уголовное дело по признакам преступления, предусмотренного частью 4 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). По поручению Генпрокуратуры России Московская прокуратура по надзору за исполнением законов на воздушном и водном транспорте в связи со сбоем в работе информационных систем и сервисов ПАО «Аэрофлот» организовала надзорные мероприятия. Кроме того, вопрос соблюдения прав пассажиров при осуществлении перевозок находится на контроле в транспортной прокуратуре.
Дмитрий Песков также отреагировал на сообщение о сбое в работе «Аэрофлота»:
«Та информация, которую мы читаем в общем доступе, — она достаточно тревожная, хакерская угроза — это угроза, которая сохраняется для всех крупных компаний, оказывающих услуги населению».
Дмитрий Песков, пресс-секретарь президента России
Заместитель министра транспорта Владимир Потешкин провел в аэропорту Шереметьево совещание с участием представителей Минтранса, Росавиации, аэропорта и авиакомпании, на котором спланирован ряд шагов по дальнейшей нормализации ситуации. Заместитель министра подчеркнул, что «Аэрофлот» и Шереметьево обладают необходимыми ресурсами для нормализации ситуации.
Однако участие в сбое группировок Silent Crow и «Киберпартизаны BY» все еще под вопросом:
«Мы не можем знать наверняка, кто действительно атаковал „Аэрофлот“. Это могли быть, например, спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять — это одно, а реально взламывать — другое».
Наталья Касперская, президент ГК InfoWatch и председатель правления АРПП «Отечественный софт»
«К сожалению, в текущих политических реалиях и в условиях нарастающего противостояния с Западом мало надежды, что атаки прекратятся. Скорее всего, атаки на критическую инфраструктуру нашей страны будут только нарастать. А это значит, что надо продолжать импортозамещение, надо строить дублирующие системы для объектов КИИ. А даже — быть готовыми перейти на бесцифровые системы управления в особо критических случаях. „Аэрофлот“ же как-то управлял своими рейсами до цифровизации», — добавила эксперт.
Напомним, расходы на обеспечение цифровой безопасности «Аэрофлота» в 2024 году составили 858,8 млн рублей, следует из годового отчета авиакомпании.
29 июля в «Аэрофлоте» сообщили, что с 10:00 29 июля программа полетов выполняется в рамках расписания, планируется выполнить 93% рейсов из Москвы (216 из 233). До 10:00 были точечные отмены, затем график стабилизировался. Вчера было выполнено 80% программы — изменения коснулись в основном московских рейсов, региональные летали по расписанию. Онлайн-регистрация доступна за 24 часа, аэропортовая — штатно. Контакт-центр усилен, пассажиров уведомляют об отменах заранее. Сайт и бронирование работают без сбоев.