28 июля 2025 года случилась одна из крупнейших и серьёзных кибератак в истории российской авиации – под удар попала российская государственно-частная авиакомпания «Аэрофлот». Из-за взлома компания отменила десятки рейсов, а позже Генпрокуратура РФ выяснила, что всему виной хакерская атака двух группировок.
Подробности кибератаки на «Аэрофлот», отмена рейсов и другие последствия, виновники взлома, намерения и возбуждение уголовного дела – в материале от CyberMeta.
Что случилось с «Аэрофлотом»: сбои, отмены рейсов и возврат средств
Массовые сбои информационных систем и перебои в работе сервисов «Аэрофлота» начались 28 июля 2025 года, после 07:00 утра по московскому времени. Авиакомпания экстренно обратилась к пассажирам:
Ожидается вынужденная корректировка в расписании выполняемых рейсов, в том числе путем переноса и отмены. Просим пассажиров следить за информацией на онлайн-табло сайтов аэропортов по всей маршрутной сети авиакомпании информационных табло аэропорта и за объявлениями по громкой связи в аэропорту.
Авиаперевозчик также извинился перед пассажирами и заявил, что команда специалистов пыталась минимизировать риски производственного плана полётов и восстановить работу сервисов.
Уже через пару часов после обращения «Аэрофлот» начал массово отменять и переносить рейсы в Шереметьево и других аэропортах. В один момент авиакомпания объявила об отмене более 40 рейсов и возможности возврата денежных средств пассажирам в ближайшие десять дней:
Пассажиры отменённых рейсов могут обратиться в зал выдачи багажа аэропорта Шереметьево для того, чтобы забрать оформленный ранее багаж. Во избежание образования скоплений пассажиров просим вас покинуть аэропорт Шереметьево. Пассажирам отменённых рейсов доступны: возврат денежных средств или переоформление на рейсы в ближайшие 10 дней. Обратите внимание: кассы в аэропорту временно не осуществляют возвраты и не переоформляют билеты. Обращаем внимание, оформить возврат или переоформить билет, купленный у агента, необходимо по месту покупки. От имени авиакомпании приносим извинения за доставленные неудобства.
Таким образом, на протяжении нескольких часов основной заявленной авиакомпанией причиной нарушений в работе сервисов и отмены рейсов являлись некие «сбои информационных систем». Настоящей же причиной массового сбоя стала крупная кибератака, но об этом сообщили чуть позже.
Всему виной хакерская атака: 20 Тб данных, 10 миллионов долларов ущерба и уголовное дело
Параллельно массовой отмене рейсов «Аэрофлота» две хакерские группировки публично взяли ответственность за крупный взлом авиакомпании на себя. По словам хакеров, операция длилась около года, при этом взломщики якобы находились внутри корпоративной сети компании. В результате кибератаки хакеры якобы полностью скомпрометировали и уничтожили внутреннюю IT-инфраструктура «Аэрофлота», а также:
- получили и выгрузили данные истории перелётов;
- скомпрометировали критические корпоративные системы;
- получили контроль над ПК сотрудников и руководства;
- скопировали данные с серверов прослушки, аудиозаписи разговоров, а также данные систем наблюдения и контроля за персоналом.
Помимо этого, хакеры уничтожили около 7.000 виртуальных и физических серверов. Вместе с тем были украдены около 22 терабайт информации, включая как базы данных, так и файлы с корпоративных ресурсов:
Все эти ресурсы теперь недоступны или уничтожены, восстановление будет требовать, возможно, десятки миллионов долларов. Ущерб – стратегический. Наша операция – это прямое послание для ФСБ, НКЦКИ, RT-Solar и других так называемых «киберзащитников» – вы не способны защитить даже свои ключевые инфраструктуры. Для всех сотрудников репрессивного аппарата – ваша цифровая безопасность ничтожна, и вы сами уже давно под наблюдением. Персональные данные всех россиян, когда-либо летавших Аэрофлотом, теперь тоже отправились в путешествие
Если верить заявлениям хакеров, в скором времени они будут публиковать все украденные данные. Некоторое время спустя на масштабную кибератаку отреагировала Генпрокуратура России:
По поручению Генпрокуратуры России организованы надзорные мероприятия в связи с задержкой и отменой рейсов в аэропорту Шереметьево. Причиной стал сбой в работе информационной системы «Аэрофлота» в результате хакерской атаки. По материалам прокурорской проверки возбуждено уголовное дело по признакам преступления, предусмотренного частью 4 статьи 272 УК РФ (неправомерный доступ к компьютерной информации).
Если верить самим хакерам, заявлениям СМИ и экспертов, виновником кибератаки является объединение двух проукраинских организаций. Ранее они взламывали IT-инфраструктуру Главного радиочастотного центра, Единой медицинской информационно-аналитической системы, Национальной команды реагирования на киберинциденты, а также сливали центральную базу данных жителей Московской области.
Причины, последствия и мнения экспертов
По словам преступников, их кибератаки являются ответом соответствующим органам и властям Российской Федерации. При этом виновные во взломе «Аэрофлота» хакеры активно поддерживают сторону недружественной страны и публично проявляют враждебное отношение к России и русскому народу, оскорбляя российских граждан.
По словам экспертов, ещё одной целью злоумышленников может быть вымогательство. Например, проджект-менеджер MD Audit (ГК Softline) Кирилл Левкин в беседе с Hi-Tech Mail рассказал, что полное уничтожение инфраструктуры являются очень редкими:
Случаи полного «уничтожения» инфраструктуры крайне редки, чаще всего атакующие предпочитают вымогательство, кражу данных или саботаж, но не полное разрушение.
Левкин также отмечает, что заявления о полном стирании 7000 серверов требуют дополнительной проверки и официального подтверждения. Несмотря на то, что информация о сроках восстановления информационных систем авиакомпании остаётся неизвестной, эксперты также активно делятся мнением. Например, эксперт в области информационной безопасности Алексей Козлов в разговоре с изданием РИА Новости заявил, что восстановление может занять до двенадцати месяцев:
Полная стабилизация может затянуться до года, если инфраструктура разрушена и резервные копии недоступны.
По словам эксперта, ущерб компании может составлять от 800 миллионов до 4 миллиардов рублей.
Не остался в стороне и первый заместитель председателя ИТ-комитета Госдумы и председатель правления РОЦИТ Антон Горелкин. Он сообщил, что прецедент должен послужить уроком и авиаперевозчикам, и другим российским компаниям, а «Аэрофлот» в первую очередь обязан выполнить обязательства перед пассажирами:
Надеюсь, что предусмотренную законом ответственность понесут не только исполнители этой атаки и её заказчики, но и те должностные лица, по вине которых она стала возможна. «Аэрофлот» должен сделать серьезнейшие выводы из этой ситуации, но сейчас самое важное – выполнить обязательства перед пассажирами. То, что произошло, урок не только участникам рынка авиаперевозок, но абсолютно всем российским организациям. Кибербезопасности должно уделяться первостепенное внимание. Важно не только выполнять формальные требования к защищенности своей информационной инфраструктуры, но и регулярно проводить её испытания. Пока за вас её не испытали враги.
В день взлома, после 16:00 по московскому времени, в сети появилась информация о том, что глава «Аэрофлота» якобы не менял пароль с 2022 года. Хакеры также заявляли, что авиакомпания по сей день использует Windows XP и 2003, из-за чего взлом не составил большого труда.
Акции «Аэрофлота» и доверие клиентов терпят крах: первые последствия кибератаки
Помимо отменённых рейсов, возвратов денежных средств пассажирам и пошатнувшейся репутации «Аэрофлота» из-за кибератаки сегодня наблюдаются и другие последствия взлома, заметные невооружённым глазом. Во-первых, всего лишь за день акции авиакомпании упали более чем на 4%: утром 28 июля они стоили почти 59 рублей, а на момент публикации материала уже 56,39 рублей.
Во-вторых, доверие российских граждан и постоянных клиентов «Аэрофлота» прямо сейчас действительно смотрится очень неоднозначно из-за полусотни отменённых рейсов. По крайней мере под материалами в различных СМИ и постами в Telegram-каналах можно встретить огромное множество гневных комментариев: «профнепригодные специалисты», «глава гений кибербезопасности», «плов: отечественные сервисы», – и это лишь часть от мнения россиян о сложившейся ситуации. А что вы думаете о взломе «Аэрофлота» и доставил ли инцидент проблемы вашему путешествию? Делитесь мнением в комментариях.
