By Киберкатастрофа Аэрофлота: сигнал для всего региона
28 июля группировки Silent Crow и «Киберпартизаны BY» провели масштабную атаку на корпоративную сеть ПАО «Аэрофлот». По информации хакеров, к утру было уничтожено более 7 000 серверов и рабочих станций в офисах Шереметьево, Мелькисарово и дата-центрах компании. Стерты внутренние системы и базы данных: CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1C, системы безопасности и др. На данный момент Аэрофлот сообщил о возобновлении нормальной работы и что планирует выполнить 93% рейсов из Москвы и обратно.
Ключевые факты взлома:
• В сети использовались Windows XP и Windows Server 2003.
• Пароли сотрудников, включая топ-менеджмент, не менялись годами. По данным хакеров, гендиректор Аэрофлота использовал один пароль с 2022 года.
• Хакеры находились в инфраструктуре более года и выкачали массивы данных: переписка, звонки, история перелётов, архивы.
Ирония в том, что за месяц до атаки, Аэрофлот подписал соглашение о сотрудничестве в сфере кибербезопасности с компанией Bi.Zone (дочка Сбербанка). Документ подписали директор Bi.Zone Дмитрий Самарцев и генеральный директор Аэрофлота Сергей Александровский, тот самый, чей пароль, по информации хакеров, не менялся с 2022 года. На церемонии также присутствовал Герман Греф.
Один сбой – минус вся инфраструктура
Аэрофлот – объект критической инфраструктуры. Данный кейс показал, что инциденты ИБ способны за считанные часы обрушить бизнес- и гос процессы.
В Казахстане аналогичным объектам присваивается статус КВОИКИ, и требования к их защите не должны быть формальностью. Однако, практика показывает, что до реальной киберустойчивости многим ещё далеко.
Казахстан: уроки и риски
В Казахстане вопросы кибербезопасности авиасегмента также поднимаются регулярно. В 2021 году исследователь через багбаунти-платформу выявил критическую уязвимость в почтовой системе столичного аэропорта, которая потенциально давала доступ к внутренним сервисам. Инцидент удалось предотвратить, но он наглядно показал, насколько тонка грань между безопасностью и катастрофой.
ИБ-сообщество Казахстана знает кейсы, когда злоумышленники зашифровывали системы акиматов, университетов, нефтехимических предприятий и нацхолдингов.
🚩 APT-группировки внутри КВОИКИ
Отдельная угроза – это целевые атаки (APT), которые могут годами находиться в инфраструктуре объектов КВОИКИ, оставаясь незамеченными. Такие группы не просто крадут данные, а закладывают механизмы для будущих атак. Отсутствие катастрофичных инцидентов в Казахстане не означает, что их не может произойти – это лишь сигнал, что закладки пока не были активированы. Этот фактор должен стать триггером для постоянного мониторинга, threat hunting и проверки инфраструктуры на признаки скрытого присутствия.
🚩 Резервное копирование – необходимость
У КВОИКИ должны быть отработанные сценарии восстановления, включая изолированные резервные копии. Без них любая атака превращается в конец инфраструктуры, а не просто в инцидент. В Казахстане требования к бэкапам есть, но на практике они часто не работают.
🚩 Двухфакторная аутентификация в корпоративном сегменте
Внедрение 2FA в корпоративном сегменте – не опция, а обязательный стандарт. Один пароль – это вчерашний день: фишинг, утечки и перебор учетных данных делают его уязвимым. В Казахстане лишь единицы КВОИКИ используют 2FA внутри корпоративного сегмента. Чаще защищают внешний периметр, забывая, что взлом одной учетной записи внутри сети открывает путь ко всей инфраструктуре.
🚩 Регулярное обновление систем
Windows XP в 2025 году – это не анахронизм, а открытая дверь для кибератак. Microsoft прекратила поддержку XP в 2014 году, и любая уязвимость в этой системе навсегда остается «дырой». В Казахстане XP до сих пор встречается на рабочих станциях и даже серверах промышленных объектов. Это критический риск для национальной безопасности.
Кибербезопасность – это не бумага.
Ни одна технология не спасет, если нет дисциплины, контроля и постоянной работы по улучшению защиты. Реальные действия – это обновления, 2FA, изолированные бэкапы, обучение сотрудников и проверка планов восстановления.
Инцидент с Аэрофлотом ясно показал: в мире нет защищённых систем. Есть только те, кто готов к атаке – и те, кто просто надеется, что она не случится.
Ни одна технология не спасет, если нет дисциплины, контроля и постоянной работы по улучшению защиты. Реальные действия – это обновления, 2FA, изолированные бэкапы, обучение сотрудников и проверка планов восстановления.
Инцидент с Аэрофлотом ясно показал: в мире нет защищённых систем. Есть только те, кто готов к атаке – и те, кто просто надеется, что она не случится.
