Кібератаку на "Аерофлот": хто знищив 7000 серверів російських авіаційних систем?

Кібератака на мільйони доларів. У понеділок зловмисники вивели з ладу сервери провідної російської авіакомпанії "Аерофлот". В результаті було знищено базу даних, скомпрометовано паролі, призупинено рейси, а тисячі мандрівників опинилися в пастці в аеропортах. "Аерофлот" виявився не єдиною жертвою хакерських атак.

У наступному матеріалі - деталі найгучнішого кіберудару літа. Нашим журналістам вдалося поспілкуватися з тими, хто стояв за ним. Ексклюзив далі.

Цифрова розплата. І безпрецедентна кібератака по росавіації.

Це потужний удар, і зв'язок з іншими частинами країни повністю відсутній.

Крах у найбільшому аеропорті.

Хто є ініціатором кібератак на Росію, і яке відношення до цього має Білорусь?

Для нас завжди принципово підтримувати Україну; російський режим має бути знищений!

Ранок 28-го липня. Російська авіація зазнає серйозного колапсу. Близько ста рейсів компаній "Аерофлот", "Росія" та "Побєда" - скасовано. Авіаперевізники поспішно повідомляють про "технічний збій". Проте на моніторах співробітників відображається не помилка, а глузливе "Аерофлот капут!".

"Це наша робота!", - заявляють слідом проукраїнське хакерське угруповання Silent Crow та білоруські "Кіберпартизани". У своїй заяві ХАКтивісти оголосили: атаку готували понад рік. Результат: скомпрометована і повністю знищена внутрішня IT-інфраструктура, а це близько семи тисяч фізичних і віртуальних серверів:

Наше втручання є чітким сигналом для ФСБ: ваша кібербезпека нездатна захистити вас, і ви вже давно під пильним оком. Незабаром ми розпочнемо публікацію деяких з отриманих даних.

Це не тільки корпоративні документи, але й особисті дані громадян Росії, зазначають Silent Crow. Ми мали можливість ексклюзивно поспілкуватися з білоруськими хакерами, відомими як "Кіберпартизани". Вони поділилися подробицями своєї атаки та розповіли, чи змогли досягти своїх цілей.

"Аерофлот" є найбільшою та центральною авіакомпанією Російської Федерації, тому атака на неї має значний вплив і призводить до серйозних втрат для Кремля. Нашою метою було завдати максимальної шкоди цій компанії, як у фінансовому, так і в репутаційному та операційному плані. Ми задоволені досягнутими результатами. Завдяки недбалості адміністраторів та керівництва нам вдалося тривалий час залишатися в їхніх системах і завдати шкоди основній частині їхньої інфраструктури.

Йдеться про ненадійні паролі працівників й застарілі операційні системи. Кіберпартизани розказують: українські колеги з Silent Crow проникли в мережу "Аерофлоту" й запропонували об'єднатися. Повний адмінконтроль хактивісти встановили за кілька місяців, далі вивчали вразливості систем.

Головна фаза ліквідації зайняла приблизно 2-3 години, оскільки одночасно активувалися десятки різних автоматизованих систем для знищення даних. Це був найбільш критичний момент, коли ти переходиш через "рубікон" і вже немає можливості повернутися назад. Якщо в цей час тебе виявлять, наслідки можуть бути катастрофічними. Однак нам пощастило, і ніхто не помітив нашої діяльності. Коли адміністрація прибула, було вже пізно; зупинити процес знищення даних було неможливо.

Юліанна Шеметовець, уповноважена представниця білоруського руху "Кіберпартизан":

У цій операції взяли участь наші найнадійніші хактивісти. Однак слід зазначити, що не так вже й багато людей мають чітке уявлення про те, над чим вони працюють, адже наша структура організована саме так.

Кожна кібератака розпочинається з етапу збору інформації, зазначає експерт Віталій Якушев. Наступним кроком є здобуття первинного доступу, що, як правило, здійснюється за допомогою інсайдерів. Лише після цього відбувається подальше просування у внутрішні системи.

Віталій Якушев, керівник фірми, що спеціалізується на кібербезпеці:

Вони отримали доступ до всіх паролів, тобто до системи, яка управляє доступом, скоріше все, це Active Directory, це на Windows система, і знову ж таки, це показує про те, як скрєпні компанії в росії використовують оці загниваючі західні технології, такі як Microsoft, Windows. Це знову ж таки показує, що санкції можна застосовувати так, щоб ці системи перестали працювати, навіть без кібератаки.

Експерт вважає, що Україні було б стратегічно доцільніше залишатися в межах ІТ-інфраструктури. Це дозволило б ефективніше здійснювати розвідку та збирати інформацію про вантажі і санкційний тиск. Окрім того, існують і прямі фінансові втрати – це недоотримані податки, які могли б бути використані для виробництва боєприпасів, «шахедів» та ракет.

Віталій Якушев, керівник фірми, що спеціалізується на кібербезпеці:

Це досить складна кібератака, і справді, протягом року було чимало роботи, щоб непомітно просуватися всередині системи. Питання до нападників: чому вони знищили інфраструктуру? Чи не помітили їх, і їм довелося терміново виходити?

Збитки "Аерофлоту" оцінюються в десятки мільйонів доларів.

Тарас Загородній, політичний експерт:

Це й стоянка, і оплата роботи персоналу, включаючи пілотів. Є також непрямі втрати, які в даний момент важко оцінити. Наприклад, у ситуації, коли терміново потрібна деталь для заміни, скажімо, на компресорах нафтогону в віддалених північних регіонах. Якщо вона не прибуває вчасно, це може призвести до поломки обладнання.

Відновлення може затягнутися на пів року. Акції вже просіли на понад 4%, визнають самі росіяни.

Для "Silent Crow" це вже третій потужний удар по російській інфраструктурі в 2025 році. Раніше кіберзлочинці здійснили атаки на "Росреєстр" і "Ростєлєком". Тим часом білоруські "Кіберпартизани BY" активно підтримують Україну з самого початку повномасштабного конфлікту:

Юліанна Шеметовець, уповноважена представниця білоруського руху "Кіберпартизан":

Коли почалася повномасштабна війна, "Кіберпартизани" негайно ініціювали надскладну операцію на білоруській залізничній ділянці, що використовувалася для транспортування руди. Тоді ми були змушені зупинити російські потяги, адже усвідомлювали, що війська Росії наступали і прямували на Київ з території Білорусі.

"Кіберпартизани" брали участь у зламі сайту головного цензора росії - атаці на "Роскомнадзор". У 2024-му хактивісти зламали сайт КДБ білорусі й оприлюднили дані про те, як мінськ допомагає москві обходити санкції. Окрім того, перевіряють добровольців для Полку імені Кастуся Калиновського -- білоруського підрозділу в складі ЗСУ. Усе, щоб чинити спротив і білоруському, і кремлівському режимам.

Юліанна Шеметовець, уповноважена представниця білоруського руху "Кіберпартизан":

Я особисто відвідала Україну після початку повномасштабної війни і усвідомила, що це завжди пов'язано з ризиком. Проте цей ризик є мінімальним у порівнянні з тим, через що проходять українці, яких вбивають російські війська, а також полонені, зокрема білоруси. Саме тому ми робимо все можливе, готові йти на цей ризик, усвідомлюючи, що на наших анонімних учасників можуть полювати.

Росіяни вже називають атаку на "Аерофлот" безпрецедентною. Та для кремля це лише пролог.