В понедельник, 28 июля, российская авиакомпания «Аэрофлот» сообщила о сбое в работе информационных систем и отмене более 40 рейсов. Хакерские группы Silent Crow и «Киберпартизаны» заявили, что атаковали системы авиакомпании и уничтожили ее внутреннюю IT-инфраструктуру. «Зеркало» поговорило с представительницей «Киберпартизан» Юлианой Шеметовец о целях взлома, данных пассажиров и реакции Кремля.
Что известно об атаке на «Аэрофлот»?
По заявлению хакеров, операция длилась около года и завершилась «полным уничтожением внутренней IT‑инфраструктуры авиакомпании».
«Удалось получить и выгрузить полный массив баз данных истории перелетов, скомпрометировать все критические корпоративные системы, включая: CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1C, DLP и другие. Получить контроль над персональными компьютерами сотрудников, включая высшее руководство. Скопировать данные с серверов прослушки, включая аудиозаписи телефонных разговоров и перехваченные коммуникации. Извлечь данные из систем наблюдения и контроля за персоналом. Получить доступ к 122 гипервизорам, 43 инсталляциям виртуализации ZVIRT, около сотни iLO‑интерфейсов для управления серверами, четырем кластерам Proxmox. В результате действий было оказано влияние на около 7000 серверов — физических и виртуальных. Объем полученной информации — 12 TB баз данных, 8 TB файлов с Windows Share, 2 TB корпоративной почты», — говорится в сообщении Silent Crow.
Российские телеграм-каналы в течение дня сообщали о длинных очередях в аэропортах, долгом ожидании багажа для тех, чьи рейсы отменили.
Телеграм‑канал «Авиаторщина» со ссылкой на источники в авиакомпании сообщил, что ее работа оказалась «полностью парализована».
— По словам сотрудников авиакомпании, сегодня ночью хакнули всю внутреннюю IT‑систему «Аэрофлота». Компьютеры не работают абсолютно везде — ни в Шереметьево, ни в офисах авиакомпании. Легли все системы, полетных планов нет, заправить самолет даже не могут, — рассказал один из собеседников.
По словам другого, вылетают только те рейсы, расчеты по которым успели сделать. В Мелькисарово пропало даже электричество — предварительно, его вырубили, чтобы никто не мог включить компьютеры и войти в систему. Многих членов экипажей разворачивают домой, а офисные сотрудники просто сидят и ничего не делают.
«Огромное количество ресурсов будет направлено на погашение урона»
— Как вы оцениваете, «Аэрофлот» сможет летать в ближайшее время?
— С какими-то перебоями — сможет. В принципе, тут важно заметить, что атака не была нацелена на безопасность авиасообщения. Все, что было атаковано, никак не влияет на вылеты и прилеты самолетов. Тем не менее коллеги советуют в ближайшие недели-месяцы не пользоваться услугами «Аэрофлота». Потому что сейчас у них огромное количество ресурсов будет направлено на погашение урона, попытку восстановления данных. Соответственно, какие-то ошибки могут происходить. Поэтому вот такой совет. Но еще раз повторю, на авиационную безопасность эта атака не была нацелена. В первую очередь это удар по информационной и финансовой части.
— Есть какая-то оценка, сколько времени понадобится на восстановление?
— Коллеги говорят, что примерно недели, чтобы восстановить базовую функциональность. И месяцы, чтобы реанимировать какие-то базы данных. Но часть данных была полностью потеряна.
— В чатах специалистов интересуются, были ли резервные копии баз данных?
— Где не было — там до свидания. Больше и не будет.
— То есть где-то они были, а где-то не было?
— Насколько коллеги видели — да.
«В первую очередь стремились нанести урон»
— Хочу спросить о пассажирах, которые в прошлом могли пользоваться услугами «Аэрофлота». Эта атака несет для них какую-то опасность?
— «Киберпартизаны» очень аккуратно относятся к данным граждан. В расследованиях могут быть использованы только информация о тех, кто имеет отношение к режиму. Но не обычных граждан, которые никак не связаны с военно-промышленным комплексом, агентурной деятельностью, режимной деятельностью. То есть в общий простор данные, полученные «Киберпартизанами», не будут выкладываться. Мы будем в этом плане работать только с проверенными журналистами.
Что касается прослушки сотрудников, а также их почты, то предполагаю, что это будет выложено. Это работа на режим, на госпредприятие режима. И тут даже, в принципе, в контексте безопасности самих сотрудников будем анализировать, вообще законно было ли записывать их разговоры. То есть опять же покажем машину российских репрессий и контроля.
— Получается, «Аэрофлот» записывал разговоры собственных сотрудников?
— Да.
— Это рядовые работники или руководство?
— Пока не могу сказать, это все будет анализироваться.
— Вы успели изучить содержимое рабочих почт?
— Пока не могу комментировать. Будем анализировать. <…> В первую очередь стремились нанести урон, как говорят коллеги, «грохнуть все». А скачать — это была не основная цель. Что получилось, то скачали.
«Первый шаг был достаточно простой»
— Как вообще удалось проникнуть в эту систему? Дело было в слабом пароле гендиректора?
— Да, как написано на нашем сайте. Первичный доступ был через пароль гендиректора. Понятное дело, впоследствии понадобилось время на то, чтобы добраться до ядра инфраструктуры, до так называемой Tier 0 — главного управленческого контроля, и оставаться незамеченными много месяцев. Поэтому, конечно, это все равно ювелирная работа. Но первый шаг — да, был достаточно простой.
— Как в целом оцениваете меры инфобезопасности в системах «Аэрофлота»?
— Не сильно высоко. Наверное, даже где-то удивлены. Мы привыкли к тому, что очень сильно дырявые сети в компаниях беларусского режима. Считается, что у российского какие-то сети защищаются лучше. Но вот с «Аэрофлотом» видим, что он достаточно «дырявый».
Это показывает уровень возможностей «безопасников» и вообще, каким образом в России защищается критическая инфраструктура. Как и беларусским властям, российским по большому счету наплевать.
Потому что это в первую очередь касается обычных людей, а не слежки за оппозиционерами, попытки дискредитировать украинские силы, украинских политиков и так далее.
— После того как стало известно о взломе, вы наблюдали какую-то реакцию во внутренних системах?
— Я не могу комментировать, находятся ли там все еще «Киберпартизаны» и могут ли они туда вернуться, если не находятся. Что касается какой-то реакции со стороны российского режима в нашу сторону, пока я ничего такого не видела.
— Днем появились новости о том, что «в Кремле встревожены хакерской атакой». С какими эмоциями вы наблюдаете за такими реакциями?
— С позитивными, конечно. Это игра в две стороны. Не только российские хакеры, российский режим может атаковать западные и украинские компании. Мы в эту игру тоже способны играть. Соответственно, любое госучреждение, любая компания, которая работает на российские власти, помогает военно-промышленному комплексу, есть цель для атаки. Поэтому всем стоит задуматься много раз о том, чтобы помогать убивать украинцев, захватывать земли и оккупировать не только Украину, но и Беларусь.
И надеемся, что это может в какой-то степени вдохновить российских айтишников и граждан РФ противодействовать тому, что делает их режим. Мы видим его «дырявость», мы видим, как ему все равно на своих собственных граждан. Поэтому посмотрим, к чему это может привести. Конечно, мы только с радостью за этим наблюдаем.
— В России возбудили уголовное дело по следам этой атаки по статье «Неправомерный доступ к компьютерной информации». Насколько для вас важен этот факт?
— Мы пока не знаем, на меня лично, на сотрудников, на гендиректора [«Аэрофлота»] это [дело] было заведено. Поэтому будем следить за новостями. В принципе, без разницы, пусть заводят. Главное — это наши результаты. Главное — сколько миллионов долларов вместо военно-промышленного комплекса им придется направить на «Аэрофлот», чтобы погасить урон, который нанесли «Киберпартизаны» и Silent Сrow.
