Хакер Вакулин рассказал, как могли быть атакованы ИТ-системы «Аэрофлота»
«Любое устройство, подключающееся к интернету, уязвимо. Наиболее распространены DDoS-атаки, когда запросы массово отправляются на сервер и он, образно говоря, уходит в режим сна. Но, судя по всему, удар по «Аэрофлоту» затрагивает сами данные в базе компании, что гораздо серьезнее», – пояснил Сергей Вакулин, специалист по кибербезопасности.
«Скорее всего, у компании есть бэкап – отдельно хранящиеся данные. Поэтому регенерация не должна быть долгой и особо затруднительной. Если же резервной копии нет, то сотрудникам придется буквально вручную восстанавливать более 20 терабайт информации. Это колоссальная работа», – продолжил собеседник.
«Впрочем, напрямую пассажиров это не должно коснуться. Сами системы управления, а также стабильность работы инфраструктуры должны быть восстановлены в течение дня», – спрогнозировал эксперт. Он при этом описал два наиболее вероятных сценария, как могла произойти атака.
«Первый: хакеры прислали фишинговое письмо на почту «Аэрофлота», которое нерадивый сотрудник открыл и заполнил, кликнув на «красивый» значок. Но более вероятный вариант: злоумышленники воспользовались уязвимостями в системе «Аэрофлота». Это может быть все, что угодно, начиная от XSS до SQL-инъекции», – детализировал аналитик.
«Я вижу две цели атаки. Первая – политическая. Хакеры планировали дискредитировать одну из крупнейших российских компаний сломом ее ИТ-систем. Вторая – самопиар. Среди группировок существует свой неформальный рейтинг. И в погоне за дополнительными очками они, видимо, и могли пойти на атаку», – резюмировал Вакулин.
Ранее хакерская группировка Silent Crow в своем Telegram-канале сообщила о том, что они вместе с объединением «Киберпартизаны BY» провели операцию, в результате которой была «полностью скомпрометирована и уничтожена внутренняя ИТ-инфраструктура «Аэрофлота».
Хакеры уверяют, что им якобы удалось получить и выгрузить полный массив баз данных истории перелетов, скомпрометировать все критические корпоративные системы, получить контроль над персональными компьютерами сотрудников, включая высшее руководство.
Также злоумышленники якобы смогли копировать данные с серверов прослушки, включая аудиозаписи телефонных разговоров и перехваченные коммуникации, извлечь данные из систем наблюдения и контроля за персоналом.
В результате, по словам хакеров, было уничтожено около 7 тыс. серверов – физических и виртуальных, а объем полученной информации превысил 20 терабайт – это база данных, файлы Windows Share и корпоративная почта.
Официальный Telegram-канал пресс-службы «Аэрофлота» при этом сообщил, что в работе информационных систем авиакомпании произошел сбой. «Ожидается вынужденная корректировка в расписании выполняемых рейсов, в том числе путем переноса и отмены», – отмечается в комментарии.
Всего было отменено несколько десятков рейсов из Шереметьево в Астрахань, Астану, Екатеринбург, Ереван, Казань, Калининград, Красноярск, Минск, Мурманск, Омск, Самару, Пермь, Сочи, Петербург и другие города, и обратно. По данным Генпрокуратуры, всего задержаны свыше 80 и отменены порядка 60 рейсов.
Также надзорное ведомство в своем Telegram-канале подтвердило, что причиной произошедшего стал сбой в работе информационной системы «Аэрофлота» в результате хакерской атаки. «По поручению Генпрокуратуры России организованы надзорные мероприятия в связи с задержкой и отменой рейсов в аэропорту Шереметьево. По материалам прокурорской проверки возбуждено уголовное дело по части 4 статьи 272 УК РФ (неправомерный доступ к компьютерной информации)», – говорится в сообщении ведомства.
Кремль в курсе сообщений о хакерской атаке на «Аэрофлот», заявил пресс-секретарь президента России Дмитрий Песков. «В прикладном плане нужно обращаться в правительство, Министерство транспорта, саму компанию. Но та информация, которую мы читаем в общем доступе, – достаточно тревожная», – сказал он.