После атаки на инфраструктуру "Аэрофлота" 29 июля, из-за которой было отменено более ста авиарейсов, под удар попала Почта России, кроме того, сбой произошел в работе сети аптек "Столичка" и "Неофарм", в сетевых супермаркетах "Дикси" и "Вкусвилл". Эксперты прогнозируют IT-атаки на инфраструктуру российских банков, метро и энергетики.
- Сколько денег потерял "Аэрофлот"
- Кто такой гендиректор "Аэрофлота" Сергей Александровский, не менявший свой пароль 3 года
- "Аэрофлот" рассчитывал на "технологический суверенитет"
- Чего хотели хакеры
- Какое отношение к защите инфраструктуры "Аэрофлота" имеют нынешние и бывшие сотрудники ФСБ
Текст: проект "Окно"
"Потенциальный ущерб от кибератаки может составить $10-50 млн"
29 июля авиакомпания "Аэрофлот" заявила, что расписание после массовой отмены рейсов из-за хакерской атаки 28 июля "стабилизировано". К тому времени перевозчик уже отменил 108 рейсов (около 42% всех вылетов). Ущерб компании только за одни сутки, по оценкам экспертов, составил 259 миллионов рублей. Всего потенциальный ущерб от кибератаки может составить $10-50 млн, пишет Forbes.
"Интерфакс" оценил потери "Аэрофлота" в 53 рейса, а сам перевозчик отмены рейсов обозначил как "точечные" и заявил, что "расписание уже восстановлено".
Ответственность за кибератаку на "Аэрофлот" на себя взяли хакерские группировки Silent Crow (Украина) и "Киберпартизаны" (Беларусь). Они заявивли об уничтожении семи тысяч серверов компании и полной компрометации ее IT-структуры. Информация о полном уничтожении критический важной составляющей IT-систем соответствуют действительности, сообщает один из источников "Коммерсанта". Это же издание пишет, что восстановление IT-систем "Аэрофлота" после вчерашней кибератаки может занять до года.
Хакеры не требовали выкуп и планируют выложить добытую информацию в открытый доступ, что, по словам экспертов, говорит об "идеалогических мотивах".
"Киберпартизаны" – белорусская анонимная группировка хактивистов (Хактивизм – привлечение внимания общественности к социальным, политическим и другим вопросам при помощи кибератак), заявившая о себе во время протестов против Александра Лукашенко в 2020 году и реализовавшая серию акций против властей Беларуси (хакеры публиковали видео избиений протестующих в телеэфире, сливали базы данных госорганов, публиковали доносы в КГБ) и РФ (взламывали систему главного радиочастотного центра Роскомнадзора и коммерческой компании из Петербурга, производящей дроны).
Silent Crow объявила нанесенный "Аэрофлоту" ущерб "стратегическим". Хакеры утверждают, что проникли в систему авиакомпании еще год назад и за это время "углубились вплоть до ядра инфраструктуры", выкачав полную историю перелетов, включая личные данные пассажиров, взломали компьютеры сотрудников и скачали записи их разговоров. Скачав 22 терабайта данных, хакеры, по их словам, уничтожили семь тысяч серверов. Они объявили, что восстановление инфраструктуры обойдется "Аэрофлоту" в "десятки миллионов долларов". Silent Crow назвали атаку "политическим посланием всем сотрудникам репрессивного аппарата [России]".
"Наша операция – это прямое послание: для ФСБ, НКЦКИ, RT-Solar и других так называемых "киберзащитников" – вы не способны защитить даже свои ключевые инфраструктуры. Для всех сотрудников репрессивного аппарата – ваша цифровая безопасность ничтожна, и вы сами уже давно под наблюдением", – говорится в сообщении.
"Киберпартизаны" утверждают, что получили "первичный доступ" к сетям "Аэрофлота" через пароль гендиректора компании, который не менялся с 2022 года. Взлом им облегчило то, что в "Аэрофлоте" использовались устаревшие операционные системы Windows XP и Windows 2003.
Кто такой Сергей Александровский
Гендиректор "Аэрофлота" Сергей Александровский родился 9 сентября 1976 года в Липецке, пишет ТГ-канал "ЭХО-новости". В 1998 году он окончил Московский государственный социальный университет по специальности "юриспруденция". Как он сам признавался, авиация не была для него семейным делом: "Я вообще не из авиационной семьи", – рассказывал он в интервью РБК. Однако, согласно данным ФНС, попавшим в распоряжение "Собеседника", его родители работали в "Аэрофлоте" и аэропорту Шереметьево. В 2002 году он устроился в "Аэрофлот" на позицию замначальника отдела, отвечающего за дочерние компании. В 2016 году стал заместителем гендиректора авиакомпании "Россия" (дочернее общество "Аэрофлота"), а в 2018 году – её гендиректором.
8 апреля 2022 года Александровский был назначен на должность гендиректора ПАО "Аэрофлот". Вскоре совет директоров утвердил его полномочия на пять лет. В это время авиакомпания находилась под жёстким давлением санкций, лишившись доступа к западным самолётам, комплектующим и программному обеспечению, напоминают "ЭХО-новости". В 2022 году на Петербургском международном экономическом форуме Александровский уверенно заявлял о курсe на импортозамещение в IT-инфраструктуре компании. По его словам, к 2024 году авиаперевозчик должен был заменить до 89% иностранного программного обеспечения на российские аналоги. "Задача, наверное, очень амбициозная, но мы её видим как вполне себе реализуемую", – подчёркивал он. Несмотря на рекордную выручку в 2024 году, в связи с тем, что расходы компании росли ещё быстрее, "Аэрофлот" оказался в убытке.
"Внутри у Аэрофлота сейчас то, что айтишники называют "зоопарком"
"Вплоть до 2022 года Аэрофлот не особенно обращал внимание на отечественные потуги по импортозамещению, – пишет у себя в ТГ-канале специализирующаяся на проблемах IT-технологий и информационной безопасности журналистка Мария Коломыченко. – Например, в презентации 2019 года наглядно показано, что инфраструктура Аэрофлота почти на 100% состояла из софта трёх крупнейших западных вендоров — SAP, Sabre и Lufthansa....
Но война и последовавшие за ней санкции всё изменили. В частности, появился указ президента № 166, который запретил дальнейшие закупки и использование западного ПО на объектах критической информационной инфраструктуры (КИИ). Аэрофлот по всем параметрам, указанным в законодательстве, безусловно относится к КИИ – причём к объектам первой категории, так как это транспортная инфраструктура, атака на которую может повлиять более чем на один субъект РФ и лишить транспортных услуг свыше 5 тысяч человек. Вот тогда и началось стремительное импортозамещение — отчасти, возможно, на словах, но во многом и на практике. "У нас около 134 IT-систем, из них 31 уже является отечественной, 84 будут заменены на отечественные аналоги до конца 2024 года. Также в 2024 году мы полностью заменим всё программное обеспечение по критической информационной инфраструктуре, а доля затрат на отечественное ПО составит свыше 82 процентов", – рассказывал Совету Федерации глава Аэрофлота Сергей Александров в конце 2022 года.
Итак, что поменяли? Судя по отчетности Аэрофлота, вместо Sabre внедрили отечественную систему бронирования "Леонардо" от компании "Сирена-Трэвэл" (её руководство, кстати, сейчас под следствием — в 2023 году компания также не смогла отразить хакерскую атаку). Швейцарскую систему технического обслуживания воздушных судов AMOS заменили на "Купол" от Ростеха. Софт от SITA — на "Авиационную сервисную платформу", разработанную ФГУП "ЗащитаИнфоТранс". Начали переход с SAP на 1С. Кроме того, внутри Аэрофлота стало появляться много самописного софта – судя по отчетности, сейчас десятки IT-систем внутри компании создаются собственными силами. В 2022 году для этих нужд авиакомпания создала дочернюю IT-компанию — ООО "АФЛТ-Системс".
О своей активной работе по импортозамещению Аэрофлот регулярно отчитывается. Вот выдержка из отчёта за 2024 год:
"Одной из ключевых стратегических целей Группы "Аэрофлот" является переход на отечественное ПО. По итогам отчётного периода доля расходов на закупку российского ПО в Группе "Аэрофлот" составила 95,9%, что на 3,5 п.п. выше предыдущего года. В 2024 году объём инвестиций Аэрофлота в проекты, связанные с достижением технологического суверенитета и структурной адаптацией экономики Российской Федерации, составил 1,5 млрд руб. Инвестиции были направлены на проекты по разработке единой производственной платформы, системы управления экипажами, а также системы поддержания лётной годности и технического обслуживания и ремонта воздушных судов".
Судя по всему, внутри у Аэрофлота сейчас то, что айтишники называют "зоопарком" – смесь российского, самописного и всё ещё не импортозамещённого иностранного софта. Найти в этом хаосе что-то уязвимое – вопрос времени и упорства атакующих. Даже ФСТЭК в начале года признавал, что у 47% объектов КИИ есть критические уязвимости в IT-системах. Это неудивительно: иностранный софт, особенно в сфере авиаперевозок, существует десятилетия и обкатан на тысячах заказчиков. С точки зрения информационной безопасности, свежий российский и тем более самописный софт – почти всегда менее надёжный выбор".
"Стремились грохнуть все"
"В первую очередь стремились нанести урон, как говорят коллеги, "грохнуть все". Скачать – это была не основная цель. Что получилось, то скачали", – заявила "Зеркалу" представительница "Киберпартизан" Юлиана Шеметовец. По ее утверждению, целью кибератаки не была безопасность авиасообщения. "Хактивисты начнут скоро публиковать полученные данные "Аэрофлота". Включая персональные данные пассажиров, которые связаны с военно-промышленным комплексом, агентурной деятельностью, режимной деятельностью", – сообщила она.
Сбой мог затронуть минимум 20 тысяч авиапассажиров, оценивает Ассоциация туроператоров России. В московском аэропорту Шереметьево, где базируется "Аэрофлот", 28 июля произошел многочасовой коллапс: пассажиры не могли ни улететь, ни вернуть билеты. Работа персонала "Аэрофлота", по словам пострадавших, была парализована. О трудностях даже с заправкой самолетов сообщил источник телеграм-канала "Авиаторщина".
– Тут сбой был по максимуму – лег сайт, не работали кассы, техники проговаривались, что даже топливные системы "недоступны". У меня вылет до Сочи отменился. Когда я уезжал из Шереметьево, у всех на очереди был статус "отменен". Не меньше 100 рейсов, – говорит пострадавший пассажир Максим. – Я отделался испугом, но слышал рассказы, как пассажиров долго держали в салоне или терминале и не выпускали и багаж не выдавали. А там и кондиционеров нет. Я тоже вернуть билет не мог, и ничего неясно – спросить не у кого, вокруг бешенные очереди. Посмотрел на счастливчиков с билетами других авиакомпаний, плюнул-уехал, сейчас жду ответа о замене рейса или возврате денег, пока неясно, больше суток уже жду. Отпуск пошел по одному месту.
О сбое в информационных системах и отмене рейсов пресс-служба "Аэрофлота" впервые предупредила пассажиров после 10 утра в понедельник, 28 июля. Компания попросила пассажиров "следить за онлайн-табло аэропорта Шереметьево".
Тех, чей рейс отменили, попросили в срочном порядке забрать багаж и покинуть аэропорт, "чтобы не создавать скопления людей". По словам Максима, с этим были проблемы – багаж выдавали с задержками.
28 июля в Шереметьево прибыл заместитель министра транспорта Владимир Потешкин, провел совещание с представителями Росавиации, аэропорта и пострадавшей авиакомпании. По итогам встречи "Аэрофлот" объявил, что отдал приоритет рейсам на Дальний Восток, в Калининград, Сочи, Минеральные Воды и за рубеж, но не исключили, что "число рейсов может снова сократиться".
В качестве помощи пострадавшим пассажирам в Шереметьеве авиакомпания указала, что "организовала дополнительное информирование", а также открыла кассы для переоформления билетов, а пассажирам бесплатно раздали питьевую воду.
"Мы наблюдаем кибервойну"
В части долгой подготовки к атаке и ее нюансов опрошенные "Окном" эксперты могут лишь выдвигать версии.
– Почему целый год – мы точно не знаем, нужно спрашивать у них. Иногда большой взлом инфраструктуры занимает много времени потому что хакеры ждут какого-то события. Например, взломали имейл и читали полгода, а потом туда прислали пароль. Или взломали сервер и тихонько на нем сидели, а потом туда администратор залил свой приватный ключ, при помощи которого можно зайти на другие сервера, или вписал пароль в команду на сервере, – рассуждает технический эксперт Роскомсвободы (анонимно для его безопасности). – Или у хакеров мало времени, потому что они занимаются другим, например, в офисе работают, и они просто поломали и отложили, а потом вернулись. Это всегда конкретная история и эту конкретную историю мы просто не знаем. По поводу деталей взлома – завербованный сотрудник или внешняя атака, достоверной информации об этом нет. Я думаю, они не расскажут или расскажут неправду. Угадать такое невозможно.
Эксперт по IT-безопасности Игорь Бедеров считает, что сами хакеров раскрыли реальную схему атаки.
– По заявлениям хакеров, атака готовилась целый год. Большую часть времени занял сбор и анализ данных для последующих действий. С их слов, атака производилась посредством фишинговой рассылки зараженного ПО на электронные ящики сотрудников компании. Затем получался доступ к тем или иным узлам инфраструктуры, повышался уровень привилегий пользователей. Для расширения доступа хакеры использовали уязвимости в SharePoint (платформа для организации совместной работы, управления документами и автоматизации бизнес-процессов, разработанная компанией Microsoft) и устаревших версиях Exchange (Microsoft Exchange Server — программный продукт для обмена сообщениями и совместной работы, разработанный Microsoft). В ходе самой атаки производилось заражение сети шифровальщиком, – напоминает Бедеров.
По мнению эксперта по кибербезопасности КС НКО (Координационный совет некоммерческих организаций) Алексея Курочкина, год на подготовку – это "не особенно много".
– Более года в сети еще немного. Думаю, они так быстро бы не сработали без помощи какого-то внутреннего сотрудника, который там действительно работал. Или до сих пор работает. Он и предоставил какой-то доступ на определенный уровень внутренней сети. Дальше они уже сами – стали развивать и постепенно расширять свои возможности в сети "Аэрофлота". Виноват в данном случае именно действующий IT-персонал, который даже если и был не в курсе проникновения, но допустил халатность – не обновлял пароли, не ограничивал доступ к системе уволенным сотрудникам. А это база, такие вещи должны происходить регулярно в компаниях, тем более, таких, как "Аэрофлот", где это очень чувствительно, – говорит Курочкин. – Я, кстати, не ограничивал бы их цели только политическими, у хакеров есть гонка за ценностью цели. Знаете, как охотнику убить тигра, льва или мамонта. У них есть свои трофеи за такого рода победы. В данной классификации завалить "Аэрофлот" – это, конечно, равно завалить мамонта. Крупная птица. Операция была долгая, серьезная. Что по серьезности итогового ущерба – мы видим, что авиакомпания относительно быстро запустилась, то есть бэкапилась, безусловно, копировала всю информацию. И в итоге мамонта завалили не фатально – видим, что даже не все самолеты отменились. Там были какие-то задержки, но они относительно быстро вернулись в режим, хотя и потратили какое-то время. Вот сейчас даже давайте зайдем в онлайн-табло: так, вылет и посадка закончена – Калининград, Самара, Новосибирск. Санкт-Петербург – ожидание посадки. Анталия – посадка. Прибыл Казань. Еще Анталия в полете. Сочи в полете. Самара в полете. Тюмень в полете.
С мнением Курочкина о том, что причиной успеха кибератаки стал человеческий фактор, а не уровень защиты, согласен и Александр, опытный "белый" хакер (его имя не публикуем для безопасности).
– Самое уязвимое место любой системы – люди, а не техника. Поэтому подготовка сложных атак начинается с поиска подхода к людям, имеющим доступ к системе. Изучение повадок, привычек, слабостей. Это небыстрый процесс, и гарантии на успех нет, – говорит собеседник.
Курочкин уверен, что спецслужбы найдут даже уволенного сотрудника, пароли которого создали брешь.
– Думаю, также серьезно накажут того сотрудника, кто должен был сменить его пароли, но не сделал этого, – говорит эксперт.
Как выяснили "Важные истории", в защите IT-инфраструктуры "Аэрофлота" участвовала компания, связанная с первым замглавы ФСБ. В июне авиакомпания подписала соглашение о сотрудничестве с интегратором IT-решений "Бастион", который основал сын первого заместителя главы ФСБ Сергея Королева. Вскоре после регистрации "Бастиона" контрольную долю в нем купила компания "Цитадель" — крупнейший поставщик оборудования СОРМ для слежки за россиянами в интернете. Совладельцем "Цитадели" является Валерий Битаев, которого называют доверенным человеком Сергея Королева.
Накажут ли "Аэрофлот" за утечку данных пассажиров и сотрудников, пока непонятно. "Нет подтверждения, что она [утечка] действительно произошла", – заявил анонимный источник, близкий к Минтрансу, отметив, что при расследовании уголовного дела из-за атаки на халатность проверят и сотрудников, и подрядчиков "Аэрофлота".
Эксперты отмечают, что как раз решающий фактор уязвимости – человеческий – "безопасникам" не убрать. Даже в случае усиления регламента защиты на фоне прогнозов о нарастании IT-атак.
– Я считаю, что мы наблюдаем кибервойну, она будет продолжаться всеми средствами, доступными в кибервойне. Она началась не вчера, а происходит уже несколько лет. Россия в ней не только жертва, а активно участвует, – говорит эксперт Роскомсвободы. – Можно ли считать последующие атаки на сети и аптеки "продолжением" этой атаки на "Аэрофлот"? Не факт, что это сделали те же люди, подобным занимаются десятки или сотни групп. "Продолжение" в том смысле что это похожие события – атака на гражданскую инфраструктуру в РФ с целью лишить россиян важных товаров и сервисов – тогда да, можно.
Игорь Бедеров также считает, что хакеры на продуктовые и аптечные сети – не из одной группы.
– На следующий день после атаки на "Аэрофлот" хакеры атаковали крупные аптечные сети "Столички" и "Неофарм". Прямая связь тут не усматривается. Хакеры пробуют атаковать практически все организации в нашей стране и начинают активные действия лишь в том случае, когда атака политически или финансово мотивирована. А также в тех случаях, если они обнаружили в защите существенные уязвимости, – говорит Бедеров.
Накануне часть аптек сети "Столички" объявила на своем сайте, что перестала работать "по техническим причинам".
"Бронирование недоступно. Просмотр данных по программе лояльности недоступен. Приносим извинения за доставленные неудобства, недоступные функции будут восстановлены в ближайшее время. Уважаемые клиенты, некоторые аптеки сети не работают по техническим причинам. Приносим свои извинения за доставленные неудобства. Мы скоро откроемся!" — говорится в сообщении.
Известно, что работать перестали также аптеки сети "Неофарм", которые входят в один холдинг с сетью "Столички". Корреспонденту "Осторожно Media" в одной из аптек "Неофарм" сказали, что открытие аптеки "в ближайшее время можете не ждать". "Технический сбой, в ближайшее время можете не ждать. Несколько часов, может быть, до вечера", – заявили 30 июля фармацевты.
Сети "Неофарм" и "Столички" входят в холдинг "Неофарм" – у сети "Столички" более тысячи аптек в Москве, Подмосковье, Петербурге и еще 15 регионах России.
Позже пресс-служба "Столички" сообщила, что сеть подверглась хакерской атаке. В компании сообщили, что к обеду 30 июля "половина аптек уже открыты для посетителей". Интересно, что Роскомнадзор не обнаружил признаков DDoS-атаки на сети аптек "Столички" и "Неофарм", а также сеть клиник "Семейный доктор". "Причины сбоев выясняются", цитирует "Интерфакс" пресс-службу ведомства.
"Долгое время туда уходили на пенсию генералы ФСБ"
Эксперты уверены, что количество подобных атак и уровень объектов нападения со временем будет расти. Но при этом сам факт таких атак они не считают чем-то новым.
– Последние 3,5 года любая важная для российского государства инфраструктура под прицелом. Авиакомпании, туроператоров, базу Кордон и так взламывают ради получения личных данных, здесь ничего нового, - говорит хакер Александр.
Тем не менее, рядовых пользователей, судя по комментариям в сети, взволновала именно атака на "Аэрофлот" и аптечные сети.
Между тем, телеграм-канал ВЧК-ОГПУ, ссылаясь на свой источник, рассказал о панике в рядах управления "Т" ФСБ в связи с хакерской атакой на "Аэрофлот". "Сотрудники спецслужбы, курирующие транспортную инфраструктуру в очередной раз оказались на переднем крае и не смогли обеспечить безопасность ещё одного стратегического объекта. Об этом не говорят публично, однако в кулуарах ходят разговоры о том, что данное направление вновь подвергнется зачистке, как это случилось после подрыва Крымского моста. Тогда "тёплых" мест лишились замминистра (прикомандированный сотрудник УТ ФСБ) Александр Суханов, руководство управления и многие другие. По данным собеседника, безопасность главной авиакомпании страны – зона ответственности курирующего отдела (отдел 5, расположен в "домашнем" аэропорту "Аэрофлота", в "Шереметьево") и до неприличия раздутого штата аппарата прикомандированных сотрудников ФСБ. Долгое время туда уходили на пенсию генералы (далеко ходить не надо, на момент подрыва Крымского моста УТ возглавлял выходец из совета директоров авиакомпании Гаврилов), которые давно оторвались от оперативных реалий, а также по блату, сотрудники, которые обеспечивали безопасность только номинально в отчетах и справках. На деле, за сменой паролей (на данную уязвимость обратили внимание хакеры, взявшие на себя ответственность за атаку "Аэрофлота"), информационной гигиеной, обновлениями и работой антивирусов закреплены отдельные сотрудники ФСБ, которые должны вести специальные журналы и контролировать внутреннюю инфраструктуру. Но, по словам источника, какое отношение к службе было у руководства, такое и у подчиненных.
