Новости.
Понедельник (28.07.2025) начался с того, что почти из каждого "утюга" (по новому, телеграм-канала) посыпались сообщения о сбое в инфраструктуре "Аэрофлота".
Вот, например из группы "Россия сейчас"
"Хакерские группировки сообщили о масштабной кибератаке на «Аэрофлот». По их заявлениям, операция длилась около года и завершилась полным уничтожением внутренней ИТ-инфраструктуры авиакомпании.
В результате взлома были скомпрометированы все критически важные корпоративные системы: от баз данных истории перелётов и CRM до Sabre, 1С, Exchange и других. Хакеры также утверждают, что получили доступ к компьютерам сотрудников, включая высшее руководство, аудиозаписям переговоров, системам слежения и внутренней переписке.
По их данным, уничтожено порядка 7000 физических и виртуальных серверов, получено более 20 Тб данных, включая корпоративную почту и внутренние документы. Ущерб от атаки может исчисляться десятками миллионов долларов.
Атака названа «стратегическим ударом» по цифровой безопасности компании и государственных структур."
На и пару скринов вдогонку
Честно скажу - я тоже поддался всеобщей если не панике, то упадническому настроению. Как так ? Нацпер, одна из самых крутых авиакомпаний России, почти на господдержке и на тебе! Ломанули, да еще как!!! Год были в сети! Позор! Админов и ИБ - на плаху!
Но давайте попробуем разобраться.
Разбор "заявлений"
Все дальнейшее - результат моего личного анализа исходя из собственного опыта работы, а также - из открытых источников.
Взломали ? Да, хотя сам "Аэрофлот" до последнего говорил о сбое в инфраструктуре. И когда только Генеральная прокуратора заявила о возбуждении уголовного дела по ч. 4 ст. 272 УК - "Аэрофлот" как бы нехотя признал взлом.
"Полностью уничтожена и скомпрометирована внутренняя ИТ-инфраструктура". Знаете, даже если в "Аэрофлоте" сидят полные идиоты, то даже они понимают, что делать ВСЮ инфраструктуры полностью зависимой от каждого из его звеньев - это абсурд и профанация чистой воды! Не поверю! Т.е. понимание того, что в самолете есть независимые системы - это мы понимаем. А в собственной инфраструктуре - не понимаем ? Иными словами, они (не хакеры) ОБЯЗАНЫ были предусмотреть подобные варианты и иметь disaster recovery plan (DRP). Вопрос только во времени активации, времени RPO и RTO.
"На протяжении года мы находились в их корпоративной сети". Ну, знаете ли... Мне тоже никто не может запретить такое сказать.
В теории, конечно, возможно нахождение "трояна" (или даже учетки с административными полномочиями) целый год в системе.. Но крайне маловероятно. Могу сказать по своему опыту, что если ты сам строишь систему или давно находишься внутри периметра и отвечаешь за него (неважно, с ИТ или с ИБ), то начинаешь примечать какие-то нюансы уголком глаза, периферийным зрением, нюхом в конце концов. То папки в почте сдвинутся.. То сервер работает с бОльшей (а потому, незапланированной) нагрузкой на процессор или дисковую подсистему.. То просто интуитивно делаешь какие-то действия, которые тебе несвойственны и замечаешь что-то не то. А здесь хацкеры находились в сети ГОД! И за год ни один ИБшник и ни один ИТшник не обнаружили, что ряд сервисов (от Exchange до 1С) работают чуть-чуть, но не так, потихоньку "сливая" данные "налево". А у них, у "Аэрофлота", все должно быть "чуть" получше, чем у компании, которая занимается продажей диванов. И системы мониторинга нагрузки, и система алармов, и DLP, и IPS, и SIEM, и СКУД. Они, блин, мультимедийные системы в самолеты ставят, неужели не подумали про базовые, для таких масштабов, "вещи". Поэтому "год в сети" надо бы поделить на 2-3-4.....
"Мы получили доступ к 122 гипервизорам..." и все, что дальше. Опять же, в теории - возможно. Но всегда есть НО! Получить доступ к гипервизорам НЕ ВСЕГДА означает получить доступ непосредственно к данным внутри. При грамотной (даже базовой) настройке, доступ к хосту будет, даже можно будет выключить\перезагрузить\удалить сами виртуальные машины. Но вот именно получить доступ к данным внутри - ой, не факт....
"2TB корпоративной почты" - это возможно только в случае если они "сливали" не все подряд, а ОЧЕНЬ ВЫБОРОЧНО! Простая математика. Численность компании "Аэрофлот" на 2023 год - 31500 человек (данные из открытых источников). Переведем 2 ТВ данных в мегабайты. Это 2 097 152 мегабайт. Разделим на количество человек. Получаем... 66.5 Мегабайта почтовой переписки на человека. Это КРАЙНЕ мало! Это 3 песни, 5 презентаций и 10 отчетов в формате Word. И все. Там, где я работаю сейчас, на человека приходится примерно 10 ГБ почтового ящика (усреднено). А в компании почтой пользуются порядка 150 человек всего. 1.5 ТБ данных! А "хацкеры" говорят о 2 Тб данных в "Аэрофлоте"..
"8ТВ данных с Windows Share", т.е. самые простые и банальные сетевые папки для пользователей. С документами, возможно игрушками, данными отчетов, презентаций и пр. Я уверен, что у "Аэрофлота" даже персональных данных хранится больше, чем в принципе, "слитый" объем с Windows Share. Ну.. "Маловато будет. Маловато!"
"Около сотни ILO-интерфейсов". Ну, впечатляет, конечно же.. Хотя.. В "Аэрофлоте" про VLAN'ы не слышали ? А про разделение доступов и разные пароли? Не поверю (хотя, может я просто оптимист?)
Пример из жизни.
Обслуживал я как-то с коллегой одну компанию. Но наняли нас исключительно для удаленной технической поддержки. Мы и помогали, как могли. Но говорили директору, что "у вас все не очень". И что ? В один момент их ломанули и зашифровали буквально ВСЕ ! И файлы, и базы, и картинки - все! Суммарные требования вымогателей в переводе на евро достигали порядка 15 000. Они заплатили 2 000, им дали ключ и они расшифровали основную часть. Потом звонят нам и спрашивают, а как так ? Пароли-то все сложные! А пароли были реально сложные, 15 символов, верхний-нижний регистры, спецсимволы - красота. А я им и говорю: "Пароли у вас сложные. Но ОДИНАКОВЫЕ!" Под сложным паролем работали все. И менеджеры, и бухгалтерия, и директор. Все под сложным, но ОДИНАКОВЫМ паролем для всех.
Да и уведомления о входе на ILO (при грамотной настройке) приходят. Можно возразить, что они взяли под контроль и почтовый сервер. НО плох тот админ, который периодически не проверяет настройки даже почтовых правил.
"Деготь"
Теперь о капле (каплище, целом литре) дегтя.
Взлом был. Это признали все, даже Генеральная прокуратора дело возбудила. Это очень печально.
К середине дня 29 июля "Аэрофлот" сообщил, что возобновил работу и сайта, и 93% рейсов из московского Шереметьево. Но это не означает, что он восстановил работу сервисов. Возобновил и восстановил - не одно и то же. Можно возобновить работу "с нуля", т.е. без архивных данных. Поэтому тут - все очень непонятно и непрозрачно. На момент написания статьи - приложение "Аэрофлот" у меня работало с трудом. Вроде работает и вроде даже мили остались, но ошибки появляются...
Более печален тот факт что взлом был настолько профессиональным, что повредил несколько систем подряд и на долгое время (а для "Аэрофлота" почти сутки простоя - это ОЧЕНЬ ДОЛГО).
Еще более печально - что персональные данные реально могли "утечь". А это и ФИО, и паспортные данные, и данные банковских карт, и данные перелетов, и данные попутчиков..
С высоты своего опыта могу с уверенностью сказать, что взлом не мог быть без помощи изнутри. Увы. Кто-то помогал. За сутки такую "махину", как "Аэрофлот" не сломать. Значит "злобные хацкеры" были в сети долгое время. Не год, но и не неделю. И их присутствие как-то маскировалось. ИЛИ кто-то просто им помог ПРОНИКНУТЬ и ЗАКРЕПИТЬСЯ в системе. Без пресловутого ЧФ (человеческого фактора) здесь никак. Я уверен.
Windows XP и Windows 2003. Знаете, если это правда, то я ни фига не удивлен. Вообще. В это я готов поверить! В свое время я работал в одной очень крупной компании. И на момент, когда вышла уже Windows XP SP2, в этой компании часть ПК было на MS DOS. В таких крупных компаниях (в том числе, "Аэрофлот") процесс замены очень долгий и очень сложный. И не просто в силу ЧФ, а потому, что есть сервисы, которые работают строго на определенных ПК и на определенных версиях. И когда планировали замену ОС на ПК - этот момент не учли. Ведь намного проще оставить старую "хрюшу", чем находить какого-то программиста, чтобы он переписал программу под новые версии ОС.
"Мед"
Теперь о хорошем.
Восстановление работоспособности заняло чуть более 24 часов. Нам, конечно же, не расскажут всей правды и мы вряд ли когда-то узнаем, что именно было уничтожено, что скомпрометировано, а что - просто переименовали. Но судя по сообщениям - бэкапы (резервные копии) все же были. И это хорошо. Как говорится, "админы делятся на тех, кто делает бэкапы, и кто УЖЕ делает бэкапы".
93% рейсов на момент середины дня - из московского Шереметьево отправляются по расписанию, паники и задержек в аэропорту нет. Т.е. люди продолжают летать, ездить в отпуска, командировки и пр. И это очень хорошо, что инфраструктуру не удалось уничтожить безвозвратно.
Ниже скрин с официальной группы "Аэрофлота" в Телеграм.
Не уверен, насчет войны, но битву "Аэрофлот" выиграл, хоть победа и была "пиррова".
Увы, любая капля дегтя портит даже самую большую бочку меда. Так и здесь. Даже несмотря на тот факт, что работоспособность инфраструктуры "Аэрофлота" была восстановлена (белая полоса), она все-таки была повреждена (черная полоса).
Как в свое время говорил главный редактор одной региональной телекомпании, отвечая на вопрос журналиста о том, что жизнь это "зебра":
"Да, это так. И белых полос больше.
Но черные - шире"