Хакеры, заявившие об уничтожении систем «Аэрофлота», раскрыли подробности атаки. Что они сделали?

Утром в понедельник, 28 июля, работа авиакомпании «Аэрофлот» оказалась фактически парализована. Перевозчик отменил десятки рейсов и попросил купивших на них билет пассажиров не приезжать в аэропорты. Вскоре хактивисты из группировок Silent Crow и «Киберпартизаны Белоруссии» заявили, что причиной стала их атака. Киберпреступники заверили, что смогли украсть 12 терабайт данных, получить контроль над компьютерами сотрудников, полностью скомпрометировать все критические корпоративные системы и уничтожить их. «Лента.ру» разобралась в подробностях атаки, а также выяснила, кто такие Silent Crow и «Киберпартизаны Белоруссии».

Хакеры, которые заявили о причастности к сбою в работе «Аэрофлота», раскрыли подробности атаки

«Успешное проникновение во многом стало возможным благодаря тому, что некоторые сотрудники компании пренебрегают элементарной безопасностью», — утверждают в своем Telegram-канале «Киберпартизаны Белоруссии».

Киберпреступники добавили, что, проникнув в инфраструктуру авиакомпании, в течение года методично продвигались по ней с целью тотальной компрометации. Они уточнили, что этому способствовало использование «Аэрофлотом» устаревших версий операционных систем компании Microsoft — Windows XP и 2003.

Хакеры также утверждают, что смогли вывести на экраны компьютеров сотрудников «Аэрофлота» оскорбительные надписи, которые активно используются в проукраинской пропаганде с начала специальной военной операции.

Они также заверяют, что до сих пор сохраняют доступ к корпоративным почтам сотрудников авиакомпании, а также имеют возможность прослушивать высшее руководство перевозчика.

Однако в Роскомнадзоре не подтвердили информацию об утечке данных пассажиров. «Утечка персональных данных клиентов "Аэрофлота" пока не подтверждается"», — подчеркнула в ведомстве в разговоре с ТАСС.

Кто взял ответственность за проблемы «Аэрофлота»?

Две группировки — «Киберпартизаны Белоруссии» и Silent Crow — утверждают, что именно они стоят за сбоем в работе «Аэрофлота». Они же регулярно заявляют о крупных успехах в борьбе с Россией в цифровом пространстве. При этом стоит отметить, что не все описанные ими победы в последующем находят подтверждение.

«Киберпартизаны Белоруссии» были не очень активны в последние месяцы, а основное внимание они уделяли расследованию исчезновения спикера оппозиционного Координационного совета Белоруссии Анжелики Мельниковой, пропавшей в марте 2025 года в Варшаве. Эта ситуация породила множество конспирологических теорий о том, что она предала белорусскую оппозицию. Другое заметное направление деятельности киберпартизан — составление списка граждан Белоруссии, принимающих участие в спецоперации на Украине на стороне России.

Silent Crow — проукраинская группировка, ранее заявлявшая, что взломала «Ростелеком» и примерно сотню крупных российских компаний. Стоит отметить, что эти сведения многократно подвергались сомнению со стороны специалистов по информационной безопасности. А публикуемые хакерами в качестве доказательств наборы данных либо не содержали чувствительных для россиян сведений, либо и вовсе имели отношение не к заявленным жертвам взлома, а к их подрядчикам. Иногда же они были компиляциями предыдущих утечек.

«Группировка и здесь отметилась россыпью громких заявлений: и год находились в инфраструктуре, имея максимальный доступ, и скомпрометировали все критические системы, и стянули 12 терабайт данных, включая весь массив о перелетах. А наигравшись, уничтожили аж всю инфраструктуру компании, насчитывающую семь тысяч физических и виртуальных серверов, — отметили в авторитетном Telegram-канале T.Hunter. — На деле же бравада удалых взломщиков, скорее всего, сильно расходится с реальностью того, что они там напартизанили».

В причастности хактивистов из Silent Crow к взлому усомнилась в своем Telegram-канале и президент компании «ИнфоВотч» Наталья Касперская. По ее мнению, пока рано судить о том, кто на самом деле стоит за атакой.

Предыдущее сообщение о крупном взломе было размещено в Telegram-канале Silent Crow 20 июля после почти четырехмесячного молчания. Тогда хактивисты утверждали, что получили полный доступ к данным о жителях Москвы и Московской области из ЕМИАС.

«Мы получили административный контроль над всей инфраструктурой одного из самых крупнейших операторов персональных данных, включая контроллер домена, гипервизоры, базы данных. Общий объем выгруженных данных составил около 17 терабайтов», — написали тогда взломщики, прикрепив к сообщению образец данных.

Однако после этого к теме взлома ЕМИАС они не возвращались, дополнительные массивы данных опубликованы не были.

Работа авиакомпании парализована

В «Аэрофлоте» с самого утра пытаются ликвидировать последствия взлома, из-за которого были отменены десятки рейсов. Как сообщили в авиакомпании, сейчас специалисты проводят вынужденную корректировку расписания полетов, в том числе путем частичной отмены рейсов. По данным Telegram-канала Baza, ситуация остается критической: вылетают только те рейсы, полетные расчеты по которым были сделаны заранее.

«Я пришел на работу, но мы не можем распечатать планы полетов, никто ничего не знает. Я даже не могу найти номер экипажа, не могу созвониться с капитаном, я не знаю, где он, он не знает, где я. Самолеты все стоят, руководство ничего не знает: где самолет, кто летит, куда летит, номер экипажей. Короче, вообще ничего нет», — заявил собеседник издания, работающий в «Аэрофлоте».

По данным Telegram-канала «Авиаторщина», всем работникам «Аэрофлота» запретили пользоваться корпоративной почтой и рабочими компьютерами. При этом для связи с экипажами сотрудникам предложили использовать мессенджер Telegram.

По мнению эксперта в области информационной безопасности Алексея Козлова, восстановление систем «Аэрофлота» может занять до полугода, а полная стабилизация — до года. В беседе с РИА Новости он заявил, что точные сроки зависят от степени разрушения инфраструктуры и доступности резервных копий данных. Ущерб от кибератаки Козлов оценил в 10-50 миллионов долларов.

Об отмене десятков рейсов «Аэрофлота» стало известно утром 28 июля. Среди пострадавших оказались пассажиры парных рейсов с вылетом из Москвы и обратно. В частности, проблема затронула россиян, планировавших вылететь в Астрахань, Грозный, Екатеринбург, Ереван, Калининград, Казань, Минеральные Воды, Санкт-Петербург, Ставрополь, Сочи и в другие города.