Прошло несколько месяцев после масштабной хакерской атаки на «Аэрофлот», которая парализовала работу авиаперевозчика и привела к отмене более 200 рейсов. В нашем первоначальном расследовании мы подробно описывали, как группировка «Киберпартизаны» выявила критические уязвимости: использование Windows XP на серверах и хранение паролей в открытых файлах «Password» на рабочих столах. Новые данные раскрывают более глубокие системные проблемы.
Уязвимость в цепочке поставок: «Бакка Софт» как точка входа
За месяц до июльской атаки 2025 года генеральный директор IT-компании «Бакка Софт» Иван Семчук публично делился успехом своей компании — разработкой нового веб-приложения для «Аэрофлота». Как теперь выясняется, именно через этого подрядчика хакеры получили доступ к ключевой IT-инфраструктуре авиакомпании.
Механизм атаки через подрядчика:
- Классическая схема «взлома через цепочку поставок» — атака на менее защищенного партнера
- Взлом «Бакка Софт» был обнаружен еще в январе 2025 года, но не был должным образом нейтрализован
- Критическая уязвимость: у подрядчика был удаленный доступ к инфраструктуре «Аэрофлота», при этом в самой авиакомпании отсутствовала двухфакторная аутентификация на ключевых серверах
Хронология кибератаки на «Аэрофлот»
Хакеры действовали методично:
- Получение доступа через терминальный сервер подрядчика
- Проникновение в Active Directory «Аэрофлота»
- Завладение учетной записью администратора домена
- Использование групповых политик для массового уничтожения данных
28 июля 2025 года:
- 05:00 — сотрудники сообщают о сбоях почты, VPN и циклических перезагрузках компьютеров
- 07:00 — команда «всё вырубаем» приводит к отключению связи, электричества и приостановке полетов
Политический контекст: британский след и российские обвинения
Ситуация приобрела политическое измерение, когда посол России в Лондоне Андрей Келин в интервью телеканалу Channel 4 заявил:
«Гибридная война против России ведется очень активно. Мы только что передали официальную ноту относительно вопроса "Аэрофлота", который был атакован киберкомпанией из Великобритании. Это официальная нота. Мы отследили это».
Это первое официальное обвинение иностранного государства в данной атаке, что создает парадокс:
- Сам «Аэрофлот» избегал термина «атака», используя слово «сбой»
- Ответственность ранее взяли на себя белорусские и украинские хакеры
- Россия исторически критиковала практику «атрибуции» кибератак как ненадежную
Проблема прозрачности: отсутствие обмена индикаторами компрометации
Самый тревожный вывод нового расследования касается отсутствия сотрудничества со стороны НКЦКИ ФСБ:
- Орган не делится индикаторами компрометации (IoC) с отраслью
- Эти «цифровые отпечатки» атаки жизненно важны для защиты других компаний
- Представитель ИБ-отрасли заявляет: «Мы IoC „Аэрофлота“ достали, но из-под полы, по дружбе. В бюллетенях НКЦКИ их не было»
Технические данные, возможно, переданы британской стороне, но остаются недоступными для российских компаний, что ограничивает возможности защиты от аналогичных атак.
Ключевые вопросы кибербезопасности
Главный вопрос на сегодня: является ли британский след реальным техническим открытием или политическим инструментом? Ответ может проясниться только если доказательства станут доступны независимым экспертам.
Уроки для корпоративной безопасности:
- Необходимость аудита безопасности подрядчиков и партнеров
- Внедрение двухфакторной аутентификации на всех критических системах
- Своевременное обновление устаревшего ПО и операционных систем
- Создание эффективных процедур реагирования на инциденты
Эта атака на «Аэрофлот» демонстрирует, как технические уязвимости, недостатки в управлении безопасностью и геополитические факторы создают идеальные условия для масштабных кибератак с серьезными экономическими последствиями.