Атака на IT-системы «Аэрофлота» стала одним из крупнейших киберинцидентов
28 июля кибератака практически парализовала работу авиакомпании «Аэрофлот», заставив отменить до 50 рейсов и спровоцировав хаос и давку в аэропортах. Проблема не только российская:
у одной из атаковавших авиаперевозчика групп – белорусские корни.
В офлайне символом атаки стал затор на выходе из Шереметьево: пассажирам пришлось выстаивать в очереди для того, чтобы просто покинуть аэропорт. Онлайн роль главного события сыграло громкое заявление хакеров проукраинской группировки Silent Crow и бегло-змагарской «Киберпартизаны BY» (признанной в Беларуси экстремистской), взявших ответственность за случившееся и подробно живописавших собственные деяния.
«На протяжении года мы находились внутри их корпоративной сети, методично развивая доступ, углубляясь до самого ядра инфраструктуры – Tier0. Нам удалось: получить и выгрузить полный массив баз данных истории перелетов; скомпрометировать все критические корпоративные системы, включая CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1C, DLP и др.», – хвастаются хакеры.
Количество перечисляемых терминов далекого от IТ читателя, пожалуй, напугает. Пугаться не нужно: грубо говоря, CRM – это про контакты с клиентами, ERP – про управление ресурсами компании, 1C – про бухгалтерию и т.д. Самое серьезное заявление – про Tier0, оно означает контроль над аппаратными средствами корпоративного центра обработки данных.
Чтобы осознать, что произошло, достаточно проанализировать характер сбоев в работе «Аэрофлота» 28 июля: отключение систем планирования и учета, паралич касс онлайн и офлайн, проблемы с заправкой и т.п. Стандартный пассаж из телеинтервью сотрудников: «Нужно воспользоваться какой-то системой – не могу». В кибербезопасности это называется нарушением основной деятельности компании. Это транспортная проекция взлома перечисленных выше критических ИТ-систем с англоязычными названиями из трех и более букв. Итак, компрометация систем имела место, вопрос в том, в какой степени и кем. Ответ – в компетенции правоохранителей и службы безопасности «Аэрофлота».
Пресс-секретарь президента России Дмитрий Песков назвал новость об атаке на «Аэрофлот» тревожной, а Генпрокуратура РФ возбудила уголовное дело по признакам преступления, предусмотренного ч. 4 ст. 272 УК (Неправомерный доступ к компьютерной информации). Президент специализирующейся на кибербезопасности компании InfoWatch Наталья Касперская отметила, что не стоит гадать, кто ломал «Аэрофлот»: «Это могли быть, например, спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять – это одно, а реально взламывать – другое». Предварительно ущерб оценили в 50 млн долларов. Утечка личных данных граждан официально отрицается.
Атака обнажила очень тревожную тенденцию: транспорт в России – одна из излюбленных мишеней киберзло-
умышленников, благо IТ-компетенций и бюджетов тут поменьше, чем в финансовом секторе или ВПК, а резонанс гарантирован. До «Аэрофлота» крупнейшей транспортной компанией, попавшей под киберудар, считалась РЖД.
Справка «ТБ». По данным Solar JSOC, за 2024 год в России зафиксировано более 31 тыс. кибератак, подтвержденных заказчиком. Доля инцидентов с высокой степенью критичности по сравнению с 2023 годом выросла с 2 до 5%. Топ-3 наиболее атакуемых секторов: госсектор (55%), финансовый сектор (18%) и транспорт (16%). Транспортная отрасль – абсолютный чемпион по использованию вредоносного ПО (86%).
ДЕЛО НЕ В ПАРОЛЯХ
В Беларуси транспортных гигантов, сопоставимых с «Аэрофлотом» и РЖД, нет. Но те же экстремисты из «Киберпартизан BY» в начале 2020-х годов сделали себе имя кибератаками не только на «Азот», БЕЛТА или силовые ведомства, но и на БЖД. И в целом, преступная киберактивность у нас, как и во всем мире, обнаруживает тенденцию к росту. По данным SOC hoster.by, если за 2023 год было зарегистрировано 90 киберинцидентов высокого уровня, то за 2024-й – свыше 150.
Справка «ТБ». По данным Positive Technologies, у Беларуси – 3-е место в СНГ (7%) по кибератакам организаций, сразу вслед за Россией (73%) и Казахстаном (8%). В нашей стране чаще всего жертвами кибератак становятся госучреждения (22%), промпредприятия (14%), финансовые компании (11%).
Риски транспортной отрасли при сохранении этих опасных тенденций очевидны. Особенно в контексте озвученной Президентом Александром Лукашенко 26 июня на IV Евразийском экономическом форуме в Минске концепции ЕАЭС 2.0. Напомним ее суть: «Интегрированные евразийские транспортно-логистические коридоры должны стать умными, мультимодальными, экологичными артериями с единой цифровой платформой администрирования… Необходимо заканчивать лозунги о сохранении национального цифрового суверенитета. Наоборот, нужно на практике состыковать используемые программные платформы и обеспечить трансграничный обмен информацией из национальных баз и реестров, признать электронные подписи и цифровые документы».
«Хактивисты» уверяют, что взлому способствовала лишь небрежность сотрудников «Аэрофлота» в обращении с паролями. Однако основная причина глубже. Она находится в сфере стандартизации политик и техрегламентов кибербезопасности, упорядочения подходов к ней. Без ее решения цифровизация на транспорте (и не только) будет пробуксовывать или не приносить ожидаемых результатов.
Алексей КАРАМАЗОВ