28 подписчиков

Взлом «Аэрофлота». Всё что известно

28 июля 202528 июл 2025

28 мин

Утром в понедельник, 28 июля 2025 года, работа крупнейшей российской авиакомпании «Аэрофлот» оказалась фактически парализована. С раннего утра начали фиксироваться сбои в информационных системах: сотрудники не могли получить доступ к внутренним сервисам, а выполнение рейсов остановилось. Авиакомпания сначала сообщила о «сбое ИТ-инфраструктуры», не уточнив причину, и начала экстренную корректировку расписания lenta.ru rbc.ru. К 11:00 (мск) перевозчик отменил десятки рейсов – по данным компании, с полуночи до полудня было выполнено лишь 76 рейсов из 123 запланированных rbc.ru, то есть порядка 47 парных рейсов были сорваны. Пассажиров отменённых вылетов попросили не приезжать в аэропорты, однако в том же Шереметьево быстро накопились толпы застрявших людей rbc.ru. В первые часы причина оставалась неясной: официально говорили об общетехническом сбое. Но уже днём стало очевидно, что имеет место хакерская атака. Хактивистские группировки Silent Crow и «Киберпартизаны BY»публично заявили о с

Оглавление

Масштабный взлом ИТ-систем «Аэрофлота» в июле 2025 года: что произошло и каковы последствия
Хронология событий атаки
Технические аспекты взлома

Масштабный взлом ИТ-систем «Аэрофлота» в июле 2025 года: что произошло и каковы последствия

Хронология событий атаки

Утром в понедельник, 28 июля 2025 года, работа крупнейшей российской авиакомпании «Аэрофлот» оказалась фактически парализована. С раннего утра начали фиксироваться сбои в информационных системах: сотрудники не могли получить доступ к внутренним сервисам, а выполнение рейсов остановилось. Авиакомпания сначала сообщила о «сбое ИТ-инфраструктуры», не уточнив причину, и начала экстренную корректировку расписания lenta.ru rbc.ru. К 11:00 (мск) перевозчик отменил десятки рейсов – по данным компании, с полуночи до полудня было выполнено лишь 76 рейсов из 123 запланированных rbc.ru, то есть порядка 47 парных рейсов были сорваны. Пассажиров отменённых вылетов попросили не приезжать в аэропорты, однако в том же Шереметьево быстро накопились толпы застрявших людей rbc.ru.

В первые часы причина оставалась неясной: официально говорили об общетехническом сбое. Но уже днём стало очевидно, что имеет место хакерская атака. Хактивистские группировки Silent Crow и «Киберпартизаны BY»публично заявили о своей причастности, утверждая, что именно их атака вывела из строя системы «Аэрофлота» lenta.ru rbc.ru. Прокуратура оперативно провела проверку: к вечеру Генеральная прокуратура РФ подтвердила, что причиной сбоя стала кибератака, и сообщила о возбуждении уголовного дела по ч.4 ст. 272 УК РФ (неправомерный доступ к компьютерной информации)rbc.ru rbc.ru. Таким образом, к концу дня 28 июля официальные органы признали, что «Аэрофлот» стал жертвой целенаправленного взлома.

Развитие ситуации продолжилось после 28 июля. Авиакомпания, столкнувшись с коллапсом, отменила в сумме не менее 54 парных рейсов (то есть более ста отдельных вылетов) за этот день vedomosti.ru. Некоторые рейсы 29 июля тоже были заранее отменены или перенесены, особенно на направлениях, где можно было перераспределить пассажиров на другие авиакомпании rbc.ru. Министерство транспорта РФ провело экстренное совещание с участием руководства «Аэрофлота», аэропорта Шереметьево и Росавиации. Был выработан план нормализации: приоритет в расписании отдали критически важным маршрутам (Дальний Восток, Калининград, Сочи, Минеральные Воды, международные направления) rbc.ru. Для снижения ущерба пассажирам часть рейсов попытались выполнить силами дочерних компаний группы – например, самолёты авиакомпаний «Россия» и «Победа» подключились к перевозке людей с отменённых рейсов snob.ru. Несмотря на хаос утра, уже к вечеру понедельника в Шереметьево продолжали выполняться рейсы по скорректированному графику – всего 206 из 260 запланированных рейсов дня удалось отправить rbc.ru.

Технические аспекты взлома

По заявлению самих злоумышленников, проникновение в сеть «Аэрофлота» было тщательно спланировано и реализовано заблаговременно. Хакеры утверждают, что ещё в 2024 году получили доступ во внутренний корпоративный контур авиакомпании и в течение почти года незаметно закреплялись там, наращивая уровень доступа snob.ru. В итоге к моменту атаки они имели возможность контролировать ключевые узлы сети, базы данных и даже рабочие компьютеры сотрудников.

Уязвимости и вектор атаки. Группировки Silent Crow и «Киберпартизаны» заявили, что успешному взлому способствовали серьезные пробелы в кибербезопасности «Аэрофлота». В частности, отмечается пренебрежение правилами парольной защиты – со слов хакеров, многие сотрудники долго не меняли пароли, а генеральный директор «Аэрофлота» Сергей Александровский якобы не обновлял свой пароль с 2022 года snob.ru. Кроме того, инфраструктура авиакомпании использовала устаревшие операционные системы Windows XP и Windows Server 2003, поддержки которых уже нет. Наличие такого легаси-софта значительно упростило компрометацию сети, позволив злоумышленникам эксплуатировать старые уязвимости и обойти средства защиты lenta.ru fontanka.ru. Хакеры прямо заявили, что «Аэрофлот» «не заботился должным образом о безопасности» и этим объясняется успешность атаки fontanka.ru.

Точное техническое описание метода проникновения пока не раскрыто официально (это устанавливает следствие). Однако из имеющихся данных можно предположить комбинированный характер атаки. Например, эксперт Игорь Бедеров отметил, что примерно за неделю до взлома билетно-резервационная система Leonardo подвергалась сильной DDoS-атаке, и не исключил, что этот отвлекающий манёвр мог служить прикрытием для проникновения хакеров во внутреннюю сеть «Аэрофлота» vedomosti.ru. Сами взломщики упоминали про «цепь уязвимостей» и постепенное продвижение по инфраструктуре, маскируясь под легитимный трафик tbank.ru. Вероятно, они сначала скомпрометировали менее защищённый сегмент (возможно, через социальную инженерию или уязвимость на периферии), а затем, получив учетные данные и доступ, перемещались «вглубь» сети (тактика lateral movement).

Кто стоит за атакой? Официально ответственность взяли две группировки: Silent Crow и «Киберпартизаны BY». Обе они известны своей проукраинской позицией и атаками на российские ресурсы в последние годы lenta.ru rbc.ru. «Киберпартизаны BY» – белорусское хакерское сообщество, выступающее против властей Беларуси и поддерживающее Украину; ранее они взламывали системы в Беларуси, а также заявляли об атаках на российские цели. Silent Crow – относительно новая группировка, появившаяся в 2022–2023 гг., приписывающая себе ряд взломов крупных российских компаний (Ростелеком, Росреестр и др.) lenta.ru. Эксперты, впрочем, относятся к заявлениям этих хактивистов скептически: многие их предыдущие «успехи» не получили подтверждения или оказались преувеличены lenta.ru. В данном случае тоже остаётся открытым вопрос, действовали ли они самостоятельно или при поддержке чьих-то спецслужб. Президент компании InfoWatch Наталья Касперская подчеркнула, что «нельзя наверняка знать, кто действительно атаковал “Аэрофлот”», не исключив версию об участии разведок недружественных государств или внутренних инсайдеров lenta.ru vedomosti.ru. По её словам, громкие заявления в Telegram – это одно, а реальное исполнение такой сложной атаки – совсем другое lenta.ru. В свою очередь, первый зампред комитета Госдумы по ИТ Антон Горелкин отметил, что атака могла быть частью широкой кибервойны против России, и предположил, что сами «хактивисты» могут действовать «на службе у недружественных государств» vedomosti.ru.

Масштаб взлома и последствия для компании

Атака на «Аэрофлот» стала беспрецедентным инцидентом для российской гражданской авиации по своим масштабам. Хакеры заявили, что сумели полностью скомпрометировать критические корпоративные системыперевозчика. В их сообщениях говорится о похищении огромного объёма данных – от 12 до 22 терабайтинформации, включая полные базы данных истории перелётов пассажиров lenta.ru vedomosti.ru. Кроме того, злоумышленники утверждают, что получили контроль над корпоративной почтой и персональными компьютерами сотрудников (вплоть до устройств топ-менеджмента), а также над системами видеонаблюдения компании snob.ru. Кульминацией атаки, по словам хакеров, стало уничтожение около 7 тысяч физических и виртуальных серверов «Аэрофлота» – они заявили, что с помощью специального алгоритма стёрли все данные на этих серверах к утру 28 июля lenta.ru snob.ru. Если это правда, то атака нанесла стратегический удар по ИТ-инфраструктуреавиаперевозчика.

Однако следует отметить, что подтверждений столь катастрофичных повреждений пока нет. Роскомнадзор заявил 28 июля, что сведения хакеров об утечке персональных данных клиентов или сотрудников не подтверждаются – по состоянию на тот момент признаков компрометации данных пассажиров выявлено не было lenta.ru vedomosti.ru. Эксперты также сомневаются, что взломщикам удалось физически уничтожить абсолютно всю инфраструктуру. Как отмечает Игорь Бедеров (директор департамента расследований T.Hunter), полное «уничтожение» 7000 серверов за одну ночь звучит нереалистично: значительная часть сервисов авиакомпании (системы бронирования, метеосервисы и т.д.) работают в публичных облаках, где внешние хакеры не могут стереть данные без участия провайдера; кроме того, у таких организаций есть автономные резервные копии и аварийные площадки, недоступные извне vedomosti.ru vedomosti.ru. То есть даже при масштабном поражении основного контура у «Аэрофлота» должны сохраниться бэкапы для восстановления. Тем не менее, степень повреждений всё ещё оценивается – не исключено, что злоумышленники уничтожили часть виртуальных машин, серверов или баз данных, что уже само по себе крайне серьёзно.

Остановка рейсов и влияние на пассажиров. Непосредственным последствием кибератаки стал массовый сбой в операционной деятельности авиакомпании. За 28 июля «Аэрофлот» отменил не менее 108 рейсов (54 маршрута туда-обратно) vedomosti.ru snob.ru. Были затронуты как внутренние перелёты (в т.ч. рейсы из Москвы в Калининград, Астрахань, Красноярск, Сочи, Элисту, др.), так и международные (в Минск, Астану, Ташкент, Ереван и др.) snob.ru. Фактически вылетели только те рейсы, подготовка которых полностью завершилась до начала сбоя snob.ru. Остальные самолёты остались на земле. В московских аэропортах, прежде всего в Шереметьево (базовый хаб «Аэрофлота»), скопились сотни пассажиров, которые не могли вылететь в пункты назначения или получить багаж fontanka.ru. Очевидцы описывали обстановку как хаотичную: «самолёты стоят, руководство ничего не знает – где самолёт, кто летит, куда летит… вообще ничего нет», – цитирует слова одного из сотрудников издание Lenta.ru lenta.ru. Табло вылетов пестрели отменами и задержками, к стойкам информации и кассам выстроились длинные очереди обеспокоенных людей.

К чести компании, достаточно быстро была налажена коммуникация с клиентами. Пострадавшим пассажирампредложили стандартные компенсационные опции: полный возврат денег за билеты либо бесплатное переоформление на другие даты. Причём было объявлено, что сменить дату вылета на альтернативную можно в течение 10 дней после восстановления работы ИТ-систем (то есть фактически как только система бронирования заработает снова)ria.ru snob.ru. Разумеется, фактически оформить возврат или обмен сразу было затруднительно – сам билетный софт не функционировал. Пассажиров отменённых рейсов в аэропорту попросили забрать багаж и по возможности покинуть терминалы, чтобы избежать давки snob.ru, а дальнейшие инструкции получать через кол-центр или сайт (когда он заработает). Минтранс и Росавиация со своей стороны направили дополнительные резервные самолёты, чтобы вывезти часть застрявших людей на ближайших доступных рейсах snob.ru. Например, некоторых пассажиров пересадили на борты авиакомпаний группы «Аэрофлот» – «Победы» и «России» – или на рейсы других перевозчиков, где были свободные места snob.ru.

Влияние на бизнес и финансовые потери. Киберинцидент немедленно ударил по репутации и финансам «Аэрофлота». 28 июля акции компании на Московской бирже снизились на несколько процентов на новостях о масштабной атаке snob.ru. Прямая выручка была недополучена из-за отмены десятков рейсов: по оценкам отраслевых специалистов, каждый сорванный рейс обходится компании примерно в 2,4 млн руб. упущенных доходов (при средней загрузке около 120 пассажиров и средней цене билета ~20 тыс. руб. в одну сторону) rbc.ru. Исходя из этого, только за первые сутки сбой мог стоить «Аэрофлоту» порядка 250–300 млн руб. прямых потерь rbc.ru rbc.ru. Гендиректор консалтинговой фирмы Friendly Avia Support Александр Ланецкий отмечает, что ущерб не ограничивается упущенной выручкой: если хакеры действительно повредили базы данных, то авиакомпании предстоит затратное восстановление ИТ-инфраструктуры, возможна потеря части исторической информации (например, по логистике и обслуживанию самолетов), что в теории может нарушить цепочки поставок запчастей rbc.ru. С учётом всех факторов (простой самолётов, компенсации клиентам, срочное восстановление систем, возможные штрафы за утечку данных и пр.) общий ущерб для «Аэрофлота» оценивается экспертами от нескольких сотен миллионов до нескольких миллиардов рублей rbc.ru. В долларовом эквиваленте звучали оценки от 10 до 50 млн $ потерь snob.ru – настолько серьёзным видят инцидент аналитики.

Отдельно стоит упомянуть возможную утечку конфиденциальных данных. Хакеры утверждают, что скачали огромный пласт информации о деятельности «Аэрофлота». Если среди похищенного оказались персональные данные миллионов пассажиров (история перелётов, контактные данные, паспортная информация, данные бонусных программ и т.д.), то компанию ждут репутационные риски и, вероятно, штрафы от регуляторов за недостаточную защиту данных. Пока что, как уже упоминалось, Роскомнадзор не подтверждает факт утечки и просит не верить неподтверждённым слухам lenta.ru. Тем не менее, киберпреступники угрожают начать публикацию частей полученных данных в ближайшее время vedomosti.ru – по всей видимости, в сети могут появляться слитые базы или служебная переписка. Подобные «сливы» несут риски не только для пассажиров (например, злоумышленники могут использовать данные для фишинга), но и для самой авиакомпании – раскрытие внутренних документов, договоров, финансовой информации может нанести дополнительный удар по её позициям.

Реакция государственных органов и официальные комментарии

Масштаб ЧП привлёк самое пристальное внимание властей. Уже в день атаки свои заявления сделали сразу несколько госструктур:

Генеральная прокуратура РФ: как было отмечено, Генпрокуратура оперативно организовала проверку обстоятельств сбоя в Шереметьево. Ближе к вечеру 28 июля ведомство выступило с официальным сообщением, подтвердив факт хакерской атаки на ИТ-системы «Аэрофлота» и последствия в виде задержек и отмен рейсов rbc.ru. По материалам проверки возбуждено уголовное дело по части 4 статьи 272 УК РФ – это квалификация, предусматривающая ответственность за несанкционированный доступ к компьютерной информации, совершенный организованной группой либо повлекший тяжкие последствия rbc.ru. Дело передано в производство следственных органов. По данным СМИ, расследование курирует Московская межрегиональная транспортная прокуратура fontanka.ru.
ФСБ России: к расследованию практически сразу подключилась Федеральная служба безопасности (в частности, службы экономической безопасности ФСБ) fontanka.ru. Очевидно, ввиду высокой значимости «Аэрофлота» как инфраструктурного объекта (национальный перевозчик, частично государственная компания) подобная кибератака рассматривается и как потенциальная угроза нацбезопасности. По сведениям газеты «Коммерсантъ», не исключается, что помимо статьи 272 УК, действия хакеров могут быть квалифицированы и как смежные составы преступлений. Например, в их действиях могут усмотреть признаки саботажа или даже кибертерроризма – об этом косвенно говорит тот факт, что в ФСБ охарактеризовали атаку как «акт кибертерроризма» tbank.ru. Окончательная правовая оценка будет зависеть от результатов экспертиз и того, кто именно окажется обвиняемым.
Роскомнадзор: федеральный регулятор в сфере связи и персональных данных 28 июля сделал специальное заявление относительно слухов об утечке информации. РКН призвал не паниковать и сообщил, что утечка персональных данных клиентов «Аэрофлота» пока не подтверждена lenta.ru. Ведомство мониторит ситуацию и пообещало проинформировать граждан в случае обнаружения утечки. Иными словами, на тот момент не было доказательств, что данные пассажиров оказались в открытом доступе или у злоумышленников. Тем не менее, РКН, скорее всего, проведёт собственную проверку уровня защиты информации в «Аэрофлоте» в рамках надзорных мероприятий.
Министерство транспорта РФ: Минтранс оказался вовлечён по линии обеспечения транспортной доступности и помощи пассажирам. В день инцидента в аэропорту Шереметьево прошло совещание с участием замминистра транспорта, представителей Росавиации, топ-менеджмента «Аэрофлота» и администрации аэропорта rbc.ru. По итогам Минтранс объявил о мерах по «нормализации ситуации с рейсами». Как уже упоминалось, приоритетными объявлены социально значимые направления ( Калининград – эксклав, города Дальнего Востока и пр.), а при необходимости новых отмен предполагалось сокращать частоту рейсов на маршрутах с альтернативными перевозчиками и привлекать резервные суда rbc.ru. Также Минтранс взял на себя координацию с другими авиакомпаниями, чтобы те по возможности не завышали цены на билеты для пассажиров «Аэрофлота», вынужденных лететь другими линиями rbc.ru.
Кремль: Пресс-секретарь президента РФ Дмитрий Песков прокомментировал инцидент в ходе общения с журналистами. Он назвал поступающую информацию о кибератаке «довольно тревожной» и подчеркнул, угрозе хакеров подвержены все крупные компании, оказывающие услуги населению rbc.ru. По словам Пескова, Кремль ожидает подробностей и «разъяснений» от профильных структур – правительства, Минтранса и самой авиакомпании, – прежде чем делать выводы rbc.ru. На практический уточняющий вопрос он ответил, что выяснение технических деталей – не задача администрации президента, этим занимаются уполномоченные органы. Тем не менее, сам факт атаки в Кремле расценили как серьезный сигнал. Сообщается, что в Совете безопасности РФ на фоне этого случая подняли вопросы усиления киберзащиты критической инфраструктуры и возможного ужесточения законодательства в сфере информационной безопасности tbank.ru.
Другие официальные лица: Поступили комментарии от ряда чиновников и депутатов. Упомянутый выше Антон Горелкин (зампред комитета Госдумы по информационной политике) назвал случившееся частью войны на цифровом фронте и выразил надежду, что «ответственность понесут не только исполнители атаки, но и те должностные лица, по вине которых она стала возможна» vedomosti.ru. Фактически это намёк на возможные оргвыводы для руководства «Аэрофлота» или его ИТ-службы, допустивших такие прорехи в безопасности. На региональном уровне Московская транспортная прокуратура и Ространснадзор контролировали ситуацию с пассажирами в аэропортах, следя, чтобы «Аэрофлот» выполнял обязанности перед клиентами (предоставление информации, еды/воды при задержках, размещение в гостиницах при длительном ожидании и пр.). В СМИ также появились сообщения, что проверка уровня кибербезопасности будет проведена не только в «Аэрофлоте», но и в других крупных госкомпаниях, чтобы избежать повторения подобного сценария.

Комментарии «Аэрофлота», ИТ-специалистов и киберэкспертов

Позиция авиакомпании. Официальные представители «Аэрофлота» 28 июля воздерживались от подробных комментариев о природе случившегося, явно стараясь не сеять панику. В первых сообщениях для прессы и клиентов говорилось лишь о «сбое информационных систем» без упоминания хакеров rbc.ru. Лишь ближе к вечеру, когда Генпрокуратура уже объявила о кибератаке, компания признала, что работает «в условиях ограничений из-за атаки хакеров» ria.ru. Было подчёркнуто, что операционная деятельность продолжается, хотя и не в полном объёме суточного плана ria.ru. Топ-менеджмент заверил, что специалисты прилагают все усилия для скорейшего восстановления систем и стабилизации расписания ria.ru. В частности, авиакомпания выразила готовность ускорить процессы переоформления и нормализовать полёты, как только ИТ-инфраструктура будет поднята ria.ru. Также «Аэрофлот» публично объявил о мерах для пассажиров (возврат денег, перенос рейсов – см. предыдущий раздел). Внутри компании были введены временные меры кибербезопасности: сразу после обнаружения взлома всем сотрудникам запретили пользоваться корпоративной почтой и компьютерами, чтобы пресечь потенциальное дальнейшее распространение вируса или утечку данных lenta.ru. Для связи экипажей и оперативного взаимодействия персоналу даже рекомендовали перейти на мессенджер Telegram lenta.ru, что показательно – внутренние коммуникационные сервисы вышли из строя или считались скомпрометированными.

Руководство «Аэрофлота» в последующие дни, вероятно, выступит с более развернутыми объяснениями, однако уже ясно, что в компании признают серьёзность инцидента. Судя по всему, будет проведён внутренний аудит ИТ-безопасности, и не исключено усиление профильных подразделений (ранее независимые эксперты отмечали, что открытых вакансий специалистов SOC у «Аэрофлота» не наблюдалось, что косвенно говорит о недостаточном внимании к кибербезопасности) vedomosti.ru vedomosti.ru. Пока же официальная линия – минимизировать ущерб для клиентов и восстановить нормальную работу.

Оценки и прогнозы экспертов. Специалисты в области информационной безопасности и авиабизнеса активно комментировали ситуацию, пытаясь понять, как такое стало возможным и что ожидать далее. Ниже собраны ключевые мнения:

Наталья Касперская (президент InfoWatch, эксперт по кибербезопасности) отметила, что атtribution атаки (то есть установление, кто именно за ней стоит) затруднена. По её словам, вполне вероятны сценарии с участием иностранных спецслужб или внутренних злоумышленников, воспользовавшихся политической обстановкой lenta.ru vedomosti.ru. Громкие заявления хакерских групп, особенно политически мотивированных, она призывает воспринимать осторожно: не исключено, что реальные организаторы могут быть иными, а хактивисты используются как прикрытие. Касперская также подчеркнула, что атака на «Аэрофлот» – тревожный сигнал, и в условиях геополитического противостояния такие атаки на критическую инфраструктуру России, скорее всего, будут учащаться lenta.ru.
Алексей Козлов (ведущий аналитик ИБ-компании «Спикател») обратил внимание на внутренние проблемы безопасности «Аэрофлота». По его мнению, причиной столь длительного присутствия хакеров в сети могла быть недостаточная сегментация сети и слабый мониторинг активности пользователей vedomosti.ru. Отсутствие должного контроля над действиями инсайдеров и администраторов позволило злоумышленникам прятаться месяцами. Козлов считает, что для устранения последствий такой атаки потребуется много времени: восстановление ключевых систем может занять до полугода, а полная стабилизация – до года lenta.ru. Всё будет зависеть от того, насколько сильно разрушена инфраструктура и имеются ли уцелевшие резервные копии данных lenta.ru. В финансовом выражении эксперт оценил возможные убытки в диапазоне $10–50 млн lenta.ru snob.ru (включая все сопутствующие расходы и потери от репутационного ущерба).
Игорь Бедеров (T.Hunter) скептически отнёсся к хвастливым заявлениям хакеров об «уничтожении 7000 серверов». Он пояснил, что современная ИТ-инфраструктура авиакомпаний распределена и резервирована таким образом, что полностью вывести её из строя дистанционно практически невозможно vedomosti.ru vedomosti.ru. По его словам, часть критически важных систем «Аэрофлота» размещается в облаках или на изолированных площадках аварийного восстановления (DRP), куда внешние злоумышленники доступа не имеют vedomosti.ru. Также Бедеров успокоил, что авиационная безопасность не пострадала – бортовые системы самолётов и аэродромное оборудование (навигация, диспетчерские службы) функционируют автономно и не связаны с корпоративной сетью авиакомпании vedomosti.ru. В то же время эксперт указал на серьёзные недостатки организации ИБ в «Аэрофлоте»: экономия на обновлениях и отключение некоторых модулей киберзащиты (например, системы поведенческого анализа UEBA) могли сыграть роковую роль, позволив атакующим действовать незаметно tbank.ru. Бедеров считает, что случившееся должно послужить уроком и стимулом для пересмотра подходов к защите корпоративных сетей в критичных компаниях.
Александр Ланецкий (авиационный эксперт) сосредоточился на производственных рисках. Он отметил, что если хакеры уничтожили или зашифровали данные по техническому обслуживанию флота и закупкам, это может нарушить логистику поставок запчастей и материалов для «Аэрофлота» rbc.ru. Придётся восстанавливать базы поставщиков, пересогласовывать контракты и т.д., что создаёт дополнительную нагрузку. Ланецкий также озвучил оценку потерь за первый день простоя – около 0,5 млрд руб. (чуть выше консервативных оценок других источников) rbc.ru. Он подчеркнул, что для полной оценки убытков нужно понимать, какие именно данные и за какой период были утеряны rbc.ru.

В целом, профессиональное сообщество едино во мнении, что атака вскрыла системные проблемы. Несмотря на использование «Аэрофлотом» продуктов известных вендоров защиты (упоминались решения «Лаборатории Касперского», SIEM-система MaxPatrol от Positive Technologies и др. tbank.ru), оказалось, что организационные меры были недостаточны. Не работал должным образом мониторинг, часть серверов не обновлялась с прошлого года tbank.ru. Эксперты призывают извлечь уроки: увеличить инвестиции в кибербезопасность, проводить регулярные аудиты, обучать персонал киберграмотности, чтобы подобные проникновения не остались незамеченными впредь.

Меры, предпринятые после взлома

Оперативное расследование. После атаки запущено масштабное расследование силами правоохранительных органов. Уголовное дело, как уже сказано, расследует транспортная прокуратура и, вероятно, СК России, при координации с ФСБ fontanka.ru. Следователям предстоит установить точный вектор взлома, объем похищенной информации и круг виновных лиц. Пока подозреваемых официально не названо fontanka.ru. Расследование ведётся по статье о неправомерном доступе, но следствие может добавить и более тяжкие статьи, учитывая последствия (например, если будет подтвержден умысел нанести ущерб обороноспособности или общественной безопасности, возможна переквалификация на диверсию или теракт в сфере компьютерной информации). В рамках дела изымается сетевое оборудование, журналы логов, допрашиваются сотрудники ИТ-департамента «Аэрофлота». Также, как сообщают СМИ, менеджмент компании может понести ответственность, если будет доказано, что информационные системы не отвечали базовым требованиям защищённости fontanka.ru. То есть следователи посмотрят, выполнялись ли нормативы по защите данных, были ли актуальны системы безопасности. Этот случай уже стал прецедентом, когда вопрос ставится ребром: кто допустил такую уязвимость?

Восстановление систем. «Аэрофлот» совместно с привлечёнными ИТ-специалистами (возможно, из госструктур или дружественных компаний) занимается поэтапным восстановлением работоспособности. Приоритет – вернуть в строй систему бронирования и продажи билетов, а также модули оперативного планирования рейсов. Сообщается, что на критически важные системы может уйти до месяца или двух, если их пришлось поднимать с нуля или из резервных копий snob.ru. Полное же возвращение к штатной работе (включая всевозможные вспомогательные сервисы, архивы данных и т.д.) может затянуться на несколько месяцев snob.ru. Многое зависит от того, сохранились ли неповреждённые резервные копии: если да, восстановление пойдёт быстрее; если же бэкапы тоже были затронуты или устарели, придётся фактически заново наполнять базы данных. В первые дни после атаки «Аэрофлот» работает в режиме ограниченной ИТ-функциональности: часть процессов переведена на ручное управление (оформление документов, взаимодействие с аэропортами), что замедляет обслуживание, но позволяет выполнять рейсы. Параллельно компания наверняка усилила мониторинг – установлены дополнительные средства контроля, чтобы предотвратить повторный взлом, пока не устранены уязвимости.

Усиление защиты и реформы. Уже сейчас звучат заявления о необходимости кардинальных мер, чтобы подобная ситуация не повторилась. В Совете Безопасности РФ, по данным аналитиков, обсуждается введение обязательных кибераудитов для госкомпаний и стратегических предприятий tbank.ru. Возможно, будут приняты нормативные акты, требующие определённого минимального уровня ИТ-безопасности, регулярного тестирования на проникновение, обновления софта и пр. Ряд комментаторов отмечают, что «Аэрофлот» потратит серьёзные средства на модернизацию: придётся наконец отказаться от устаревших систем, обновить парк серверов, нанять дополнительных специалистов по кибербезопасности. Депутат Антон Горелкин прямо заявил, что «“Аэрофлот” должен сделать серьёзнейшие выводы из этой ситуации» vedomosti.ru, и дал понять, что ответственным за провалы в защите придётся ответить. Не исключено, что по итогам расследования последуют кадровые решения– например, в ИТ-блоке авиаперевозчика. Такая кибератака, особенно в условиях продолжающегося геополитического конфликта, воспринимается властями болезненно, поэтому реакция будет жесткой: от компаний потребуют максимальной мобилизации ресурсов на киберзащиту.

Работа с клиентами и имиджевые шаги. После преодоления острого кризиса «Аэрофлот» наверняка предпримет усилия по восстановлению доверия пассажиров. Уже сейчас открыт специальный раздел на сайте и горячая линия, где пострадавшие клиенты могут узнать о порядке возврата денег и переоформления билетов. Как только системы заработают, обещано ускоренно обработать скопившиеся заявки и стабилизировать расписание ria.ru. Вероятно, авиакомпания предложит извинения пассажирам за неудобства – возможно, в форме бонусных миль или скидок на будущие перелёты (подобная практика была в прошлом при крупных сбоях). Кроме того, публично будет продемонстрировано, что сделано для усиления безопасности: например, отчёт о переходе на новые версии ПО, о внедрении дополнительных степеней защиты. Всё это призвано показать, что «Аэрофлот» извлёк уроки и остаётся надежным перевозчиком.

Обсуждение в медиа, соцсетях и IT-сообществе

Масштабный взлом «Аэрофлота» мгновенно стал топ-темой в российских СМИ и породил бурную дискуссию в профессиональном сообществе и социальных сетях. Медиа подробно освещали развитие событий практически в режиме реального времени: крупнейшие деловые издания (РБК, «Ведомости») выпустили аналитические материалы с оценками ущерба rbc.ru snob.ru, федеральные агентства (ТАСС, РИА) публиковали официальные заявления и комментарии ria.ru, телевидение (Первый канал, «Россия 24») в новостных выпусках рассказывало об отменённых рейсах и мерах для пассажиров. Многие отмечали, что столь серьёзной кибератаки на транспортную отрасль России ещё не было – инцидент называли беспрецедентным по размаху vedomosti.ru. Проводились параллели с зарубежными случаями: вспоминали сбой IT-систем British Airways в 2017 году, атаки на Colonial Pipeline в США и т.д., подчёркивая, что теперь и Россия столкнулась с аналогичным киберриском в гражданской инфраструктуре.

В социальных сетях и на профильных форумах ИБ-специалистов реакция была смесью возмущения, иронии и серьёзных обсуждений. Много внимания уделялось тому факту, что в 2025 году компания масштаба «Аэрофлота» работала на Windows XP/2003 – эту подробность из заявления хакеров подхватили и широко разнесли, нередко в саркастическом ключе. Комментаторы высмеивали отсталость ИТ-систем: «ведущая авиакомпания страны сидела на “хрюше” (жаргонное название Windows XP)», «сколько же миллиардов упилили на “обновление” софта, если там до сих пор XP?» – подобные реплики заполонили отраслевые Telegram-чаты и форумы fontanka.ru. Другим объектом критики стала халатность персонала: особенно обсуждалось утверждение, что гендиректор не менял пароль 3 года snob.ru. Пользователи соцсетей язвили про «admin123» и задавались вопросом, как можно было игнорировать базовые требования безопасности на таком уровне.

В профессиональном IT-сообществе тон был более конструктивным. Специалисты разбирали атаку по кусочкам, делясь мнениями о векторах проникновения. Многих встревожило 11-месячное незаметное присутствие хакеровв сети «Аэрофлота» – это указывало на пробелы в мониторинге. Обсуждались технические детали: отключенный модуль UEBA в SIEM-системе, отсутствующие обновления на 40% серверов, недостаточная сегментация – всё это инсайдеры (в частности, один из авторов на платформе T-Bank Pulse) называли реальными проблемами, приведшими к провалу защиты tbank.ru tbank.ru. В то же время отмечалось, что никакие средства не гарантируют 100% защиту, особенно против целевых атак, и что «человеческий фактор» (невнимательность, экономия на безопасности) остаётся ахиллесовой пятой.

Широкий резонанс получила и политическая подоплёка случившегося. В российских соцсетях сторонники жёсткой линии призывали рассматривать атаку как акт агрессии со стороны проукраинских сил и отвечать соответственно – вплоть до киберударов по инфраструктуре противника. С другой стороны, часть аудитории высказывала неудовлетворение работой государственных структур: мол, почему не были заранее укреплены системы, где были аудиты Министерства цифрового развития и тому подобное. Некоторые вспомнили предыдущие утечки (например, взлом Росавиации в 2022 г., когда тоже старые серверы на Windows стали добычей хакеров) и сделали вывод, что выводов тогда не сделали.

В целом, медиа и эксперты сходятся во мнении, что инцидент с «Аэрофлотом» должен стать поворотной точкойдля отношения к кибербезопасности критических организаций. Если раньше к подобным предупреждениям относились формально, то теперь реальный ущерб – отменённые рейсы, тысячи пострадавших пассажиров, миллионы убытков – убедительно продемонстрировал опасность. В публичном пространстве звучат призывы не замалчивать проблему: открыто признать ошибки, наказать виновных и максимально прозрачно провести работу над ними. Возможно, в ближайшее время мы увидим инициативы по модернизации ИТ-инфраструктуры не только «Аэрофлота», но и других ключевых компаний, чтобы подобные атаки не могли парализовать целые отрасли.

Вывод: июльская кибератака на «Аэрофлот» стала одной из самых масштабных за всю историю Рунета, показав уязвимость даже таких крупных структур. Хронология событий – от ночного взлома до транспортного коллапса утром и экстренных мер к вечеру – раскрыла, насколько глубоко могут проникать хакеры при наличии слабых мест. Технические детали указывают на сочетание внешней угрозы и внутренних просчётов. Последствия ощутили на себе тысячи людей, а компании предстоит долгий путь восстановления. Реакция государства была стремительной, и есть надежда, что последуют системные изменения в подходе к киберзащите. Случившееся активно обсуждается в обществе, повышая общую осведомлённость о киберрисках. Таким образом, «урок Аэрофлота» станет важным кейсом для ИТ-отрасли и стимулом к усилению цифровой безопасности в масштабах всей страны.

Источники: Генпрокуратура РФ, РБК rbc.ru rbc.ru, Lenta.ru lenta.ru lenta.ru, «Ведомости» vedomosti.ru vedomosti.ru, Snob.ru snob.ru snob.ru, комментарии экспертов InfoWatch, T.Hunter, Спикател vedomosti.ru vedomosti.ru, данные Минтранса РФ rbc.ru, сообщения «Аэрофлота» и РИА Новости ria.ru ria.ru.