Взлом информационных систем «Аэрофлота» поставил под угрозу не только IT-безопасность крупнейших компаний России, но и вообще всю цифровую инфраструктуру страны. Следом пострадали аптечные сети. И это, возможно, только начало. «НИ» с экспертом разобрались, кто и как ломает «цифровую» Россию.
Мария Соколова, Андрей Краснобаев
Накануне крупнейшая российская авиакомпания «Аэрофлот» была вынуждена приостановить полеты и отменить 53 рейса, люди застряли в аэропортах. Все ужаснулись, но это было только начало.
Следующей жертвой хакерских атак стали сети аптек «Столички» и «Неофарм». Работа многих была парализована. Люди не могли ни купить лекарства, ни сделать заказ.
После появилась информация, что хакеры нанесли удар по внутренним системам сети клиник «Семейный доктор» и уничтожили базу пациентов. Однако представители клиники опровергли кибератаку. Также пока не подтвердились слухи о том, что сбои в работе Почты России вызваны работой хакеров. Кто здесь прав, а кто занимается спекуляцией — уже не выяснить.
Стоит напомнить, что в середине июля кибератаке и взлому подверглась сеть магазинов «Винлаб». По данным «Форбс», убытки сети из-за простоя могут превысить более миллиарда рублей.
Таких частых и массированных кибератак россияне еще не видели. А что будет, если взломают «Газпром», РЖД, Россети, ЕМИАС или другие жизненно важные системы?
Кто сломал «Аэрофлот»?
После атаки и приостановке полетов ответственность за преступление взяли на себя белорусская хакерская группа «Киберпартизаны» (в Беларуси признана террористической и экстремистской организацией) и группа Silent Crow. Они открыто заявляют о своих киберпреступлениях. У «Киберпартизан» есть даже свой сайт, на котором они рассказали про атаку на «Аэрофлот».
Обе группы довольно молодые, но уже успели натворить немало дел. Все началось с того, что в 2021 году «Киберпартизаны» взломали базы данных белорусских госслужб: ГАИ, паспортной системы, видеонаблюдения МВД и других. В 2023-м они взломали российский Главный радиочастотный центр, в феврале 2024-го передали журналистам базу доносов и информаторов КГБ Беларуси, а в апреле 2024 года взломали компанию СТЦ из Санкт-Петербурга, которая производит дроны и средства радиоконтроля.
Silent Crow активно проявила себя в 2025 году. Они взламывали базы Росреестра, Ростелекома и правительства Москвы.
Если верить заявлениям «Киберпартизан», «Аэрофлоту» нанесен масштабный ущерб: они якобы уничтожили более 7 тыс. серверов и рабочих станций, затерли базы данных, выкачали множество различных данных, включая прослушку сотрудников, выгрузили историю перелетов. Вот как описывают свои «достижения» хакеры из Silent Crow.
— Объем полученной информации 12TB баз данных, 8TB файлов с Windows Share, 2TB корпоративной почты. Все эти ресурсы теперь недоступны или уничтожены, восстановление будет требовать, возможно, десятки миллионов долларов. Ущерб — стратегический.
По словам хакеров, они проникли в самые важные внутренние информационные системы «Аэрофлота».
«Затерли базы данных и информационные системы CREW, Sabre, Sharepoint, Exchange, КАСУД, Sirax, Софи, CRM, ERP, 1C, системы безопасности и др. элементы структуры корпоративной сети Аэрофлот», — сообщили злоумышленники.
Впрочем, тот факт, что авиакомпания уже во вторник официально сообщила о стабилизации своей работы, говорит о том, что большого успеха хакерам достичь все же не удалось.
Например, автоматизированная система бронирования Sabre, о взломе которой сообщили злодеи, прекратила сотрудничество с «Аэрофлотом» еще в 2022 году.
Интернет-журнал «Код» накануне разобрал заявление хакерской группировки и пришел к выводу, что злоумышленники сообщили о взломах систем документооборота и финансового учета компании, что, наверняка, приведет к серьезным убыткам, но вряд ли повлияет на безопасность самих полетов «Аэрофлота».
О том, как «Аэрофлот» мог потерять свои серверы и информационные системы, «Новые Известия» поговорили с экспертом в области информационной безопасности, сотрудником одной из крупнейших российских компаний, Олегом Чирухиным.
Атака «APT» — долго, дорого, страшно!
По мнению эксперта, информационные системы «Аэрофлота» стали жертвой кибератаки APT (Advanced Persistent Threat). Это термин кибербезопасности означает длительную скрытую кибератаку на информационную систему, при которой злоумышленники получают и сохраняют несанкционированный доступ к сети, оставаясь незамеченными в течение длительного времени.
«Хакеры постепенно берут под контроль все информационные ресурсы организации, но не блокируют их работу, а копируют данные, изучают структуру информационной безопасности организации, чтобы в нужный момент парализовать ее работу. Это один из самых дорогих и сложных способов кибератак в наше время, но и один из самых результативных для преступников», — рассказывает Олег Чирухин.
— Олег, кибербезопасность «Аэрофлота» могла предотвратить атаку такого уровня?
— Чисто в теории — да, могли остановить. Можно, но сложно. Если говорить простым языком — главное, не запустить злодеев внутрь первого самого защищенного периметра безопасности. Обычно строится какой-то периметр, который «условно безопасен» и вся остальная информационная жизнь компании строится на предположении, что его никто скорей всего не пройдет. Похоже, у «Аэрофлота» было что-то такое, и там, внутри периметра безопасности жили и старый Windows, и 1С, и другие системы финансового и ресурсного учета и контроля. Все эти системы не обороняются сами по себе, они функционируют из предположения неприступности основного контура.
Это не лучшая идея — так организовывать безопасность. Но она самая простая и дешевая.
Представьте, что «Аэрофлот» это условный рыцарь, у которого в замке хранится золото, данные на крепостных, и так далее. У замка может быть самая высокая стена, с самыми меткими лучниками, но если рыцарь потеряет контроль за воротами замка, то жди беды.
— А наш рыцарь, «Аэрофлот», получается, потерял контроль над «своим замком»?
— Сейчас у нас мало данных, чтобы это утверждать достоверно. Но если хакеры говорят, что получили контроль за администраторскими панелями в ЦОД (центр обмена данных, — прим. ред.), то можно предположить, что злодеи не только «ворота замка» контролировали, но и лучников на стенах, и монахов в подвалах, которые выдают грамоты и золото. То есть долгое время могли управлять любыми процессами внутри информационной системы компании.
— Как хакеры смогли добиться такого успеха в атаке на «Аэрофлот»?
— Вариантов может быть много. Точкой проникновения могла стать часть зараженного «открытого кода», который разработчики компании должным образом не проверили перед внедрением в свои системы.
Как это выглядит? Хакеры, под видом обычных разработчиков, пишут условно полезный для работы код, который выкладывают в бесплатный открытый доступ на порталах, где общаются разработчики. Обмениваться «открытым кодом» это нормальная практика в IT во всем мире.
Но всегда надо проверять, какие функции заложил автор кода, и нет ли там скрытых возможностей, с помощью которых злодей впоследствии сможет проникнуть в «ваш замок». Иногда этим пренебрегают, по забывчивости или умышленно, когда, например, в компанию внедряют своего агента.
— То есть в компании мог работать шпион?
— Чужой агент в подразделении кибербезопасности, особенно с высоким уровнем доступа, может полностью захватить контроль над информационными системами организации. Поэтому за такими специалистами существует особый контроль, плюс они взаимно проверяют работу друг друга, кто какие действия «низкого уровня», которые не видят обычные пользователи, производит. Но 100% гарантии противодействия утечкам данных дать нельзя никогда.
— Есть ли способ гарантированно защитить критические для общества и государства информационные системы, такие как у «Аэрофлота», РЖД или «Газпрома»?
— Я не знаю, как информационная безопасность устроена в «Аэрофлоте», но условно, есть два подхода к организации киберзащиты в корпорациях, — устаревший и современный.
Устаревший, я привел пример с рыцарским замком, где два состояния системы: «Все под полным контролем» и «Все сломали, все украли». Промежуточных состояний у контура безопасности нет. При этом технологии атаки совершенствуются, и в замок все равно будут проникать враги — на воздушном шаре, с помощью подкопа, или в бочке с медом. Все ходы атакующих не предусмотреть. А если у каждой дырки поставить самого сурового стражника, и проверять документы на каждом перекрестке, то жизнь обитателей замка будет парализована бесконечными проверками.
В современной информационной системе вы тоже не можете бесконечно усложнять доступ. Сотрудники начинают сами понижать безопасность, чтобы хоть что-то успевать делать по основной работе.
— И как поступать, чтобы не падала производительность труда, но сохранялась безопасность?
— Это проблема не столько даже техническая, сколько организационно-философская. Нужно в душе своей пережить и прожить эту идею, что у тебя есть системы, которые будут ломать — и они будут ломаться, чего бы ты не предпринимал. Это факт!
А дальше продумать запасные варианты на все эти случаи. Современный подход — это когда у тебя несколько контуров безопасности. Например, контур с персональными данными и критической информацией, где удобства для пользователей нет, но есть максимальная безопасность.
А для всего остального инфраструктура должна быть такая, чтобы автоматически «лечилась» в случае ударов по ней, подтягивала данные из резервного копирования и так далее. Взломали какой-то кусок сети — да и бог с ней. Все тут же пересоздается с нуля, автоматически по описанию. Есть разные инструменты для этого, например, облачные инфраструктуры на основе Kubernetes и Helm.
Вопрос в желании наших компаний уходить из мышления начала 21 века в современный мир. Иначе приходится все восстанавливать месяцами кропотливого труда днями и ночами, без выходных и праздников.
---