РБК Компании
РБК Компании
Подписка на РБК
Инвестиции
Мероприятия
Отрасли
Недвижимость
Autonews
РБК Компании
Телеканал
РБК Вино
Спорт
РБК Образование
РБК Life
Тренды
Визионеры
Национальные проекты
Город
Стиль
Крипто
РБК+
Дискуссионный клуб
Исследования
Кредитные рейтинги
Франшизы
Газета
Спецпроекты СПб
Конференции СПб
Спецпроекты
Проверка контрагентов
ESG-индекс
Политика
Экономика
Бизнес
Технологии и медиа
Финансы
Рынок наличной валюты
Экономика образования
Здоровье
ООО «АЙТИ БАСТИОН» 29 июля 2025

Кибератака на Аэрофлот — что нужно знать, чтобы не стать следующим

Атака хакеров на авиакомпанию Аэрофлот стала одной из крупнейших в 2025 году. Разработчик системы информационной безопасности «АйТи Бастион» сделал разбор атаки

Константин Родин
Заместитель директора по развитию бизнеса «АйТи Бастион»

Эксперт в области информационной безопасности, популяризатор грамотного подхода к защите цифровых активов бизнеса

Утром 28 июля Аэрофлот официально через пресс-службу сообщил, что в информационных систем компании случился сбой. В день происшествия отменили несколько десятков рейсов, а ИТ-инфраструктура авиакомпании работала в ограниченном режиме. 

Хакерские группировки, причастные к инциденту, не стали хранить молчание и заявили о причиненном ущербе: уничтожено 7 тыс. серверов и рабочих станций, нанесен непоправимый ущерб базам данных и информационным системам Аэрофлота.

Власти возбудили уголовное дело по статье 272 УК РФ (неправомерный доступ к компьютерной информации), официальных заявлений о реальном ущербе и итогах расследования ждать еще долго, но определенные выводы об атаке можно сделать уже сейчас.

Хакеры сообщили, что нападение готовилось в течение продолжительного времени. Чего они так долго ждали?

Это стандартная ситуация — до момента обнаружения злоумышленник будет находиться в инфраструктуре максимально долго. С одной стороны, чтобы детально изучить всю систему, с другой, ­– чтобы получить как можно больше точек проникновения в сеть, охватить своим присутствием всю инфраструктуру. К тому же, когда можешь попасть в инфраструктуру «с одного входа», высока вероятность, что получится найти/подготовить еще несколько таких «точек проникновения».

Создав бэкдоры или какие-то дополнительные точки доступа (к примеру, дополнительный пароль на случай первичного обнаружения), хакеры обеспечивают себе лазейку, ведущую вглубь. Это тоже вполне стандартная практика: получить доступ через одну уязвимую систему, закрепиться в инфраструктуре, создав дополнительные «учетки» в разных системах, либо установить вирусное ПО. Это обеспечит прямой удаленный доступ в обход тех, что успели закрыть.

Вероятно, в случае Аэрофлота хакеры все это время искали уязвимые места и старались закрепиться в сети. Во-первых, чтобы оставалась возможность принести как можно больше вреда, во-вторых, — чтоб иметь дополнительные точки подключения и доступа в инфраструктуру. Иногда продолжительный доступ к инфраструктуре больше интересен хакерам, чем просто тотальное уничтожение или шифрование данных. Дело в том, что большинство крупных компаний содержат в себе не только инфраструктуру для работы и функционирования, но и конфиденциальные данные: их можно выгодно продать конкурентам, либо другим заинтересованным в атаках хакерам.

На данный момент, пока служба ИБ авиакомпании ничего не заявила, мы можем опираться лишь на догадки.

Хакерская группировка написала, что несоблюдение парольной политики в топ-менеджменте компании сделало атаку возможной. Такое действительно могло повлиять на организацию данной атаки?

Да! Конечно, существует много вариантов доступа в инфраструктуру. Это и использование уязвимостей ПО или оборудования, и фишинговые атаки, с помощью которых злоумышленники получают учетные данные, либо заражают компьютеры.

Однако вероятность того, что даже сложные пароли со временем могут быть скомпрометированы, безусловно, есть. Их могут подобрать, используя брутфорс, либо «найти» те же самые пароли в менее защищенных системах, чем корпоративная инфраструктура. Да, сопоставляя «учетки», тоже можно попасть в сеть. Такой вариант не стоит игнорировать, но и полностью ставить на него — тоже. Судя по масштабу атаки и по тому, что ее вовремя не засекли, можно сделать вывод, что она, как минимум, была очень хорошо спланирована, — это значит, что применялось много разных тактик и подходов.

По сути, этот случай, — очередное доказательство, что просьбы ИБ- и ИТ-служб о частой смене паролей на сложные и неповторяющиеся — это не выдумка и не чья-то прихоть, но одно из самых эффективных средств по предотвращению компрометации доступов. В любой современной компании должна не только быть, но и соблюдаться надежная политика управления паролями и их хранения. Различий между статусами и положениями сотрудников быть не может. Хакеру достаточно закрепиться в инфраструктуре, скомпрометировав любого, а при помощи уязвимостей ОС повысить себе привилегии до супер-пользователя. Внедрить парольную политику — дело нетрудное, но соблюдать — куда труднее.

Почему ИБ-системы и инструменты противодействия кибератакам не уберегли инфраструктуру Аэрофлота от нападения?

В Аэрофлоте отличная ИБ-служба, но здесь, как и в любой другой организации с «прокачанным ИБ», степень погружения в вопрос не гарантирует полную защиту.

Как говорится, самый надежный компьютер — это счеты, потому что невзламываемый. О стопроцентной защите говорить сложно, — мы в ИБ говорим только о минимизации рисков и попытках более быстрого (и превентивного) реагирования.

Да, существуют разные «горшочки с медом» (специальные ловушки для хакеров), но шанс, что хакер попадется в ловушку никогда не равен 100%. Впрочем, их наличие — лучше, чем их отсутствие.

Другой вопрос в том, что, судя по всему, атака начиналась через вполне легитимные доступы, которые не определились как атаки.

Техники определения атак — это довольно сложные процессы, включающие в себя, в первую очередь, набор аномальных поведений, которые могут находиться на разных учетных записях. Возможно, хакеры нашли те самые лазейки, которые не смогла должным образом идентифицировать система предупреждения об атаке. Поэтому большинство работ в рамках инфраструктуры, ИБ-системы воспринимали как более, чем легитимные. В любом случае, каких бы размеров и уровня критичности ни была инфраструктура — это не означает, что ее нельзя скомпрометировать.

К сожалению, системы защиты все-таки находятся в статусе «догоняющих», потому что придумать методы взлома зачастую проще, чем методы защиты от неизвестной атаки. Что можно в этой связи порекомендовать:

  • Эшелонированные системы с минимальными полномочиями внутри них. Да, пресловутая Zero Trust, где сотрудникам выдается не больше необходимого.
  • Контроль привилегированного доступа (PAM) к критическим системам,
  • Максимальное покрытие системы анализаторами, детекторами, защитой 9-поинтов, EDR и XDR и средствами реагирования.
  • Дополнительные средства хранения и управления паролями и секретами внутри организации.

Однако все это — сложная и дорогая инфраструктура, которая требует не только наличия и функционирования, но и грамотного подхода к анализу событий. А ложное срабатывание такого ИБ-комплекса, с точки зрения безопасности — куда лучше, чем отсутствие срабатываний как таковое.

Присоединяйтесь к компаниям, которые уже делятся новостями бизнеса на РБК КомпанииУзнать больше