Am 28. Juli 2025 wurde die russische Fluggesellschaft Aeroflot Opfer eines verheerenden Cyberangriffs, der zu erheblichen Betriebsstörungen führte. 49 Flüge ab Moskau mussten gestrichen werden, während Passagiere mit massiven Serviceunterbrechungen konfrontiert waren. Der Vorfall verdeutlicht die wachsende Bedrohung durch fortgeschrittene Cyberattacken auf kritische Infrastrukturen.
Koordinierte Attacke zweier Hackergruppen
Die Verantwortung für den Angriff übernahmen die bekannten Hackergruppen „Cyberpartisanen BY“ und Silent Crow. Nach Angaben der Angreifer infiltrierten sie bereits ein Jahr zuvor das Unternehmensnetzwerk und erweiterten systematisch ihren Zugang zu geschäftskritischen Systemen. Diese langfristige Präsenz im Netzwerk ist charakteristisch für Advanced Persistent Threat (APT) Operationen.
Besonders alarmierend ist das erreichte Privilegienniveau: Die Hacker erlangten Tier0-Zugriff, der höchsten Berechtigungsstufe in der IT-Infrastruktur. Damit kontrollierten sie praktisch alle Unternehmensressourcen, einschließlich 122 Hypervisoren, 43 Virtualisierungsinstallationen und etwa hundert Server-Management-Interfaces.
Umfang der Datenkompromittierung
Das Ausmaß des Datendiebstahls ist beispiellos: 22 Terabyte an sensiblen Informationen wurden exfiltriert, davon 12 TB Datenbanken, 8 TB Dateien und 2 TB Unternehmens-E-Mails. Zu den kompromittierten Systemen gehörten geschäftskritische Plattformen wie CREW, Sabre, SharePoint, Exchange sowie Document-Management- und ERP-Systeme.
Besonders beunruhigend ist der behauptete Zugriff auf Überwachungs- und Abhörsysteme, einschließlich Audioaufzeichnungen von Telefonaten der Geschäftsführung. Die Angreifer geben an, etwa 7.000 physische und virtuelle Server zerstört zu haben, was auf eine destruktive Komponente der Attacke hinweist.
Vorgeschichte der beteiligten Hackergruppen
Silent Crow hat bereits mehrere hochkarätige Angriffe auf russische Organisationen durchgeführt, darunter Rosreestr, Rostelecom, Kia Russland und GUS, AlfaStrakhovanie-Zhizn und die Kundendatenbank der Alfa Bank. Die Cyberpartisanen BY sind bekannt für Attacken auf die belarussische Eisenbahninfrastruktur und das Hauptfrequenzzentrum.
Offizielle Reaktion und Schadensbewertung
Aeroflot bestätigte technische Störungen in den Informationssystemen, kommentierte jedoch nicht die Behauptungen der Hacker über die Natur des Vorfalls. Spezialistenteams arbeiten an der Wiederherstellung der normalen Servicefunktionen und der Risikominimierung für den Flugbetrieb.
Die Moskauer Interregionale Transportstaatsanwaltschaft überwacht die Situation und verfolgt die Entwicklungen am Flughafen Sheremetyevo. Die Angreifer drohen mit der baldigen Veröffentlichung von Teilen der gestohlenen Daten, was die Folgen des Vorfalls verschärfen könnte.
Wirtschaftliche Auswirkungen und Wiederherstellung
Nach Schätzungen der Cyberkriminellen könnte die Wiederherstellung der IT-Infrastruktur Dutzende von Millionen Dollar kosten und erhebliche Zeit in Anspruch nehmen. Sie charakterisieren den Schaden als strategisch, was auf langfristige Auswirkungen auf die Geschäftstätigkeit der Fluggesellschaft hindeutet.
Dieser Vorfall unterstreicht die kritische Bedeutung mehrschichtiger Verteidigungsstrategien in Unternehmensnetzwerken. Organisationen müssen kontinuierliches Monitoring innerhalb des Sicherheitsperimeters implementieren und besonderen Fokus auf die Erkennung anomaler Aktivitäten sowie die Beschränkung privilegierter Zugriffe auf kritische Systeme legen. Moderne APT-Gruppen können monatelang unentdeckt in Unternehmensnetzwerken verweilen und dabei systematisch ihre Angriffsfläche erweitern.
