28 липня 2025 року російська авіакомпанія “Аерофлот” стала жертвою однієї з найбільш руйнівних кібератак в історії цивільної авіації. Інцидент призвів до скасування 49 рейсів з Москви та повної дестабілізації роботи корпоративних систем авіаперевізника, продемонструвавши критичну вразливість сучасної авіаційної інфраструктури.
Технічний аналіз масштабів проникнення
Відповідальність за атаку взяли на себе дві відомі хакерські групи: “Кіберпартизани BY” та Silent Crow. За їхніми заявами, зловмисники перебували в корпоративній мережі авіакомпанії протягом цілого року, поступово розширюючи зону контролю над критично важливими системами.
Особливо тривожним є факт досягнення хакерами рівня привілеїв Tier0 – найвищого рівня доступу в IT-інфраструктурі. Це означає повний адміністративний контроль над усіма корпоративними ресурсами, включаючи 122 гіпервізори, 43 інсталяції віртуалізації та близько сотні інтерфейсів управління серверами.
Обсяг компрометованих даних та систем
Масштаби витоку інформації вражають своїми розмірами: хакери повідомили про крадіжку 12 ТБ баз даних, 8 ТБ файлів та 2 ТБ корпоративної електронної пошти. До списку скомпрометованих систем увійшли критично важливі платформи CREW, Sabre, SharePoint, Exchange, системи документообігу та ERP-рішення.
Найбільшу стурбованість викликає заявлений доступ до систем прослуховування та спостереження за персоналом, включаючи аудіозаписи телефонних розмов вищого керівництва. За твердженнями зловмисників, у результаті їхніх дій було знищено близько 7000 серверів – як фізичних, так і віртуальних.
Історія попередніх атак групувань
Silent Crow раніше заявляла про успішні атаки на великі російські організації, включаючи Росреєстр, “Ростелеком”, “Кіа Росія та СНД”, “АльфаСтрахування-Життя” та клієнтську базу Альфа-Банку. “Кіберпартизани BY” відомі атаками на інфраструктуру Білоруської залізниці та систему Головного радіочастотного центру.
Офіційна реакція та розслідування
Представники “Аерофлоту” підтвердили факт технічного збою в роботі інформаційних систем, проте утрималися від коментарів щодо заяв хакерів про природу інциденту. Команда фахівців компанії працює над відновленням штатного функціонування сервісів та мінімізацією ризиків для виробничого плану польотів.
Московська міжрегіональна транспортна прокуратура взяла ситуацію під контроль та відстежує розвиток подій в аеропорту Шереметьєво. Хакери погрожують розпочати публікацію частини викрадених даних найближчим часом, що може посилити наслідки інциденту.
Економічні наслідки та час відновлення
За оцінками зловмисників, відновлення IT-інфраструктури може потребувати десятків мільйонів доларів та займе значний час. Збитки вони характеризують як стратегічні, що вказує на довгострокові наслідки для діяльності авіакомпанії та можливий вплив на всю галузь цивільної авіації.
Цей інцидент яскраво демонструє критичну важливість багаторівневого захисту корпоративних мереж та необхідність постійного моніторингу активності всередині периметру безпеки. Сучасні APT-групи здатні місяцями залишатися непоміченими в корпоративних мережах, методично збираючи інформацію та розширюючи свій доступ. Організаціям слід приділяти особливу увагу виявленню аномальної активності, обмеженню привілейованого доступу до критично важливих систем та регулярному проведенню аудитів безпеки для запобігання подібним інцидентам.
