28 июля 2025 года российская авиакомпания «Аэрофлот» столкнулась с серьезным инцидентом информационной безопасности, который привел к масштабному сбою в работе корпоративных систем. В результате атаки было отменено 49 рейсов из Москвы, а пассажиры столкнулись с серьезными перебоями в обслуживании.
Заявления хакерских группировок о компрометации систем
Ответственность за кибератаку взяли на себя две известные хакерские группировки: «Киберпартизаны BY» и Silent Crow. По их утверждениям, злоумышленники провели в корпоративной сети авиакомпании целый год, методично расширяя свой доступ к критически важным системам.
Согласно заявлению хакеров, им удалось достичь наивысшего уровня привилегий в IT-инфраструктуре компании — Tier0, что означает полный контроль над всеми корпоративными ресурсами. Масштаб компрометации впечатляет: злоумышленники получили доступ к 122 гипервизорам, 43 инсталляциям виртуализации и около сотни интерфейсов управления серверами.
Объем похищенной информации и нанесенного ущерба
Хакеры сообщили о краже огромного объема конфиденциальных данных: 12 ТБ баз данных, 8 ТБ файлов и 2 ТБ корпоративной почты. В список скомпрометированных систем вошли критически важные платформы, включая CREW, Sabre, SharePoint, Exchange, системы документооборота и ERP-решения.
Особую тревогу вызывает заявление о получении доступа к системам прослушки и наблюдения за персоналом, включая аудиозаписи телефонных разговоров высшего руководства. По утверждению злоумышленников, в результате их действий было уничтожено около 7000 серверов — как физических, так и виртуальных.
Предыдущая активность хакерских групп
Группировка Silent Crow ранее заявляла об успешных атаках на крупные российские организации, включая Росреестр, «Ростелеком», «Киа Россия и СНГ», «АльфаСтрахование-Жизнь» и клиентскую базу Альфа-Банка. «Киберпартизаны BY» известны атаками на инфраструктуру Белорусской железной дороги и систему Главного радиочастотного центра.
Официальная реакция и последствия инцидента
Представители «Аэрофлота» подтвердили факт технического сбоя в работе информационных систем, но не комментировали заявления хакеров о природе инцидента. Команда специалистов компании работает над восстановлением штатного функционирования сервисов и минимизацией рисков для производственного плана полетов.
Московская межрегиональная транспортная прокуратура взяла ситуацию под контроль и отслеживает развитие событий в аэропорту Шереметьево. Хакеры угрожают начать публикацию части похищенных данных в ближайшее время, что может усугубить последствия инцидента.
Экономические последствия и восстановление
По оценкам злоумышленников, восстановление IT-инфраструктуры может потребовать десятки миллионов долларов и займет значительное время. Ущерб они характеризуют как стратегический, что указывает на долгосрочные последствия для деятельности авиакомпании.
Данный инцидент подчеркивает критическую важность многоуровневой защиты корпоративных сетей и необходимость постоянного мониторинга активности внутри периметра безопасности. Организациям следует уделять особое внимание обнаружению аномальной активности и ограничению привилегированного доступа к критически важным системам, поскольку современные APT-группы способны месяцами оставаться незамеченными в корпоративных сетях.
