Национальное агентство по борьбе с преступностью Великобритании (NCA) сообщило о задержании 40‑летнего мужчины в Западном Суссексе в рамках расследования кибератаки на Collins Aerospace и ее материнскую компанию RTX Corporation. Инцидент вызвал серьезные перебои в работе европейских аэропортов, затронув процессы регистрации, сдачи багажа и печати посадочных талонов. Подозреваемый освобожден под поручительство, а следственные действия продолжаются. «Хотя этот арест является важным шагом, расследование инцидента пока находится на ранней стадии и продолжается», — подчеркнули в NCA.
Суть инцидента: удар по киоскам регистрации ARINC SelfServ vMUSE
В конце прошлой недели атака была нацелена на Collins Aerospace — поставщика киосков самообслуживания ARINC SelfServ vMUSE, которые используются авиаперевозчиками и аэропортами для ключевых операционных сценариев на стойках регистрации и в зонах сдачи багажа. Компания сообщила о «сбое, связанном с кибератакой», приведшем к неполадкам программного обеспечения в ряде европейских аэропортов. По сути, удар пришелся по критически важной прослойке наземного обслуживания, где простои быстро трансформируются в задержки и отмены рейсов.
Масштаб последствий: отмены рейсов и переход на ручные процедуры
Начиная с пятницы, 19 сентября 2025 года, аэропорты Берлина, Брюсселя и Лондона столкнулись с перебоями в работе электронных систем. Авиакомпаниям пришлось оперативно возвращаться к ручным процедурам — от заполнения посадочных талонов до использования резервных ноутбуков. Степень воздействия различалась и зависела от того, насколько широко в конкретном аэропорту были развернуты терминалы vMUSE.
Сильнее всего пострадал аэропорт Брюсселя, где в воскресенье и понедельник были отменены десятки рейсов. По данным администрации, авиакомпании получили просьбу отменить около 140 рейсов на понедельник, 22 сентября; ранее было отменено 25 рейсов в субботу и еще 50 — в воскресенье. Решения объяснялись тем, что поставщик ПО не смог оперативно предоставить «новую безопасную версию» системы регистрации.
Расследование и возможная атрибуция: HardBit или Loki?
Подробности технических компрометаций публично не раскрываются. Независимый исследователь Кевин Бомонт сообщал, что злоумышленники могли использовать «невероятно примитивный» вымогатель HardBit. В то же время издание BleepingComputer со ссылкой на собственные источники отмечало вероятное участие вымогателя Loki. Эти версии пока не получили официального подтверждения, что типично для ранней фазы расследований: приоритет у правоохранителей и пострадавшей стороны — восстановление работоспособности и сбор надежной цифровой доказательной базы.
Экспертный разбор: уязвимости цепочки поставок и зависимость от единой платформы
Ситуация демонстрирует классический риск цепочки поставок: взлом экосистемы стороннего вендора, обслуживающего множественные площадки, способен вызвать каскадные сбои. Киоски и стойки регистрации — это распределенные конечные точки, зависящие от централизованных компонентов и доверенных обновлений. Даже «простая» по инструментарию вредоносная программа, попавшая в такую инфраструктуру, может спровоцировать масштабные операционные последствия, что подтверждается реальными перебоями и отменами рейсов.
Профилактика подобных сценариев требует сочетания технических и организационных мер: сегментации сетей для изоляции терминалов, строгих политик обновления и подписи ПО, многофакторной аутентификации и контроля привилегий для доступа поставщиков, развертывания EDR/NGAV на критичных узлах, а также неизменяемых резервных копий конфигураций. Не менее важны адекватные планы деградированного режима (runbooks) — аэропорты, у которых были налажены ручные процедуры и резервные каналы, смогли быстрее стабилизировать пассажиропотоки.
Практические шаги для авиационной отрасли
Пересмотр контрактов с вендорами: фиксировать требования к киберустойчивости, целевые сроки восстановления (RTO/RPO) и порядок экстренной ротации версий ПО.
Жесткая валидация обновлений: тестовые «песочницы», поэтапный вывод в продакшен, контроль целостности и запрет неподписанных билдов.
Снижение общей площади атаки: инвентаризация активов, минимизация заранее установленных модулей на терминалах, сетевые allowlist-политики и блокировка исполнения по умолчанию.
Учения по кризисному реагированию: регулярные сценарные тренировки совместно с поставщиками и авиакомпаниями, включая отработку ручных процедур и коммуникаций с пассажирами.
История с Collins Aerospace подчеркивает: в авиации киберинциденты быстро становятся операционными. Для минимизации ущерба ключевыми остаются готовность к деградированным режимам, жесткая гигиена цепочки поставок и проверенные планы восстановления. Отрасли стоит ускорить внедрение стандартизированных требований к киберустойчивости для всех критичных сервис-провайдеров — это инвестиция, которая окупается в первую же кризисную ночь.