Атака на інфраструктуру Collins Aerospace, дочірньої структури RTX Corporation, призвела до масштабних перебоїв у процесах реєстрації пасажирів, здачі багажу та друку посадкових талонів у низці європейських аеропортів. Британське Національне агентство з боротьби зі злочинністю (NCA) повідомило про затримання 40‑річного чоловіка в Західному Сассексі. Підозрюваного звільнили під заставу, а слідчі дії тривають. У відомстві зазначили, що арешт є важливим кроком, однак розслідування перебуває на ранній стадії.
Розслідування NCA: арешт і рання стадія провадження
NCA координує кримінальне провадження, співпрацюючи з постраждалою компанією та міжнародними партнерами. Правоохоронці роблять акцент на відновленні сервісів і збиранні надійної цифрової доказової бази — стандартна практика у випадках атак на критично важливі сервіси.
Що сталося: удар по киосках ARINC SelfServ vMUSE та ланцюгу постачання
Цільовим компонентом стала екосистема ARINC SelfServ vMUSE — платформи для обслуговування реєстрації та багажних операцій. Відмова цього шару призвела до каскадних збоїв у фронтових процесах аеропортів. По суті, компрометація постачальника ПЗ у ланцюзі постачання вразила множину майданчиків одночасно, що властиво централізованим платформам з розгалуженою мережею терміналів.
Наслідки для аеропортів: ручні процедури та скасовані рейси
З п’ятниці, 19 вересня 2025 року, перебої зафіксовано в аеропортах Берліна, Брюсселя та Лондона. Авіакомпанії вимушено переходили на ручні процедури — від друку талонів на резервних пристроях до ручної верифікації даних. Ступінь впливу залежав від масштабу розгортання vMUSE у конкретному аеропорту.
Найбільш відчутно інцидент позначився в Брюсселі: за даними адміністрації, авіакомпаніям запропонували скасувати близько 140 рейсів у понеділок, 22 вересня, а також 25 у суботу і 50 у неділю. Ключовою причиною рішень називали відсутність оперативної доставки «нової безпечної версії» системи реєстрації від постачальника ПЗ.
Атрибуція та можливі інструменти атаки
Офіційні технічні деталі інциденту не розголошуються. Незалежні дослідники повідомляли про можливе використання HardBit, тоді як профільні медіа, посилаючись на власні джерела, згадували варіант із Loki. Обидві версії не підтверджені офіційно; на поточному етапі пріоритет надано стабілізації сервісів і форензіці.
Експертний аналіз: системні ризики централізації та ланцюгів постачання
Інцидент підсвічує класичний ризик ланцюга постачання: компрометація одного вендора з доступом до критичних компонентів уражає одразу кілька аеропортів. Термінали реєстрації — це розподілені кінцеві точки, які покладаються на централізовані оновлення, сервіси авторизації та інтеграції з DCS. Навіть «нескладний» зловмисний код у такій архітектурі здатний спричинити значні операційні наслідки — від черг до масових відмін рейсів.
Міжнародні регулятори та галузеві центри, зокрема ENISA та CISA, послідовно відносять атаки на ланцюги постачання до ключових загроз для критичної інфраструктури. Рекомендовані підходи включають багаторівневий захист, окремі домени довіри для терміналів і суворий контроль змін у продуктивному середовищі.
Практичні кроки для авіаційної галузі
Сегментація та ізоляція: виділення окремих VLAN/VRF для реєстраційних терміналів, мінімізація півден- та схід-трафіку, політики default deny та мережеві allowlist-и для сервісів DCS/бек-офісів.
Контроль привілейованого доступу: MFA для облікових записів постачальників, строгий least privilege, журналювання та Just‑in‑Time доступ до адміністративних інтерфейсів.
Гігієна оновлень: підпис ПЗ, поетапний випуск через «пісочниці», валідація цілісності, блокування неподписаних білдів і перевірка залежностей третіх сторін.
Виявлення та стійкість: EDR/NGAV на критичних вузлах, моніторинг аномалій, immutable резервні копії конфігурацій, перевірена процедура швидкої відновлюваності (RTO/RPO).
Готовність до деградованих режимів: оновлювані runbooks для ручної реєстрації й посадки, запасні робочі станції, навчання персоналу та регулярні спільні навчання з вендорами й авіакомпаніями.
Управління ризиком постачальників: у договорах фіксувати вимоги до кіберстійкості, прозорість вразливостей, вікна змін і процедури екстреної ротації версій ПЗ.
Події навколо Collins Aerospace нагадують: у авіації кіберінциденти миттєво переходять у площину операційних ризиків. Підвищення стійкості потребує не лише технологій, а й дисципліни процесів — від чітких угод із постачальниками до регулярних навчань персоналу. Варто проактивно переглянути архітектури, оновити плани безперервності бізнесу та впровадити стандартизовані вимоги до кіберстійкості для всіх критичних сервіс-провайдерів. Це інвестиція, що окуповується в першу ж кризову ніч.
