Кибератака, обрушившаяся на IT-инфраструктуру «Аэрофлота» в конце июля, стала одной из самых разрушительных для российской гражданской авиации. По данным Росавиации, за двое суток было отменено более сотни рейсов, тысячи пассажиров не смогли вылететь по расписанию. Под удар попали 7 тыс. серверов, включая резервные каналы связи, внутренние CRM-системы, базы данных бронирования и даже корпоративные мессенджеры. ЕАН разбирался, кто стоит за взломом и чего хотят хакеры.
Взлом произошел в ночь на 28 июля, когда на серверах авиаперевозчика был активирован так называемый wiper-скрипт — вредоносная программа, не просто блокирующая доступ к данным, а полностью их уничтожающая. Парализованными оказались не только клиентские интерфейсы, но и операционные службы, включая департамент управления экипажами.
Кто атаковал «Аэрофлот»: хактивизм против инфраструктуры
Ответственность за атаку взяли на себя сразу две группы: белорусские Cyber Partisans и новая структура под названием Silent Crowd. По данным открытых источников, обе команды ранее участвовали в кибероперациях против государственных учреждений Беларуси и России.
Cyber Partisans известны взломами МВД, ГАИ и железных дорог Беларуси. Они называют свои действия протестом против государственной власти России и Белоруссии. Хакеры из данной группировки заявляют, что целью их был не только «Аэрофлот», но и символика российской власти. Судя по некоторым публикациям в специализированных изданиях, это разрозненный коллектив белорусских IT‑специалистов, возникший в сентябре 2020 на волне протестов против победы Александра Лукашенко на президентских выборах. Они сотрудничают с белорусскими оппозиционными группами BYPOL и Kastus Kalinouski Regiment. Как пишут в ряде СМИ, BYPOL и Cyber Partisans обеспечивают IT‑поддержку, проверку и вспомогательные операции для Regiment, это слияние цифрового и физического сопротивления.
Silent Crowd — структура с агрессивной тактикой: в 2024 году они уже атаковали системы московского метрополитена, а также электронную почту госведомств, вносили сбои в работу Ростеха. По сообщениям западных СМИ (AP, Reuters), действуют в связке с Cyber Partisans или с их технической поддержкой.
Мотивация хакеров, как они заявляют, политическая: помощь Украине и освобождение Беларуси. Выгоду из данных, по их же словам, они не извлекают, их цель - уничтожение информации.
По предположениям специалистов по информационной безопасности, в инфраструктуру «Аэрофлота» хакеры проникли задолго до основного удара — возможно, еще в 2024 году. Воспользовавшись устаревшими системами (включая Windows XP и 2003 Server) и уязвимыми паролями, атакующие, вероятно, добились доступа к контроллеру домена, то есть получили полный административный контроль над системой.
Результатом стала предположительная утрата до 22 Тб данных: это и история рейсов, и деловая переписка, и документы, связанные с планированием рейсов и логистикой. Уничтожены, по оценкам зарубежных СМИ, около 7 000 физических и виртуальных серверов на ESXi-хостах и других кластерах.
Росавиация заявила, что утечек персональных данных не зафиксировано, но специалисты по информбезопасности считают, что часть данных могла быть скомпрометирована. Расследование ведет ФСБ, а ущерб оценивается в десятки миллионов долларов.
Что еще взломали хакеры, атаковавшие «Аэрофлот»
Атака на «Аэрофлот» стала не единственным ударом: хакеры, предположительно связанные с этим инцидентом, также атаковали ключевые медицинские организации России. В результате в ряде регионов были полностью нарушены операции аптек и клиник.
Сеть аптек «Столички» — одна из крупнейших в России — приостановила работу более чем 900 точек. Система бронирования лекарств, кассы и учет перестали функционировать: пришлось закрыть около 1 100 филиалов в более чем 80 городах центральной части страны. Аналогичные сбои испытала сеть Neopharm в Москве и Петербурге — кассы офлайн, операции сетей парализованы, сотрудники до восстановления IT‑систем отпущены на больничные или в неоплачиваемые отпуска.
Подтвержден инцидент с частной клиникой Lecardo Clinic в Чувашии, атакованной хакерской группой 4B1D (предположительно проукраинской). Ей, по некоторым сведениям, удалось получить доступ к персональным данным около 52 тыс. пациентов и сотрудников, были стерты резервные копии, зашифрованы файлы и отключены более 100 компьютеров. Работа клиники прекратилась на несколько суток.
Впрочем, IT-специалист Даниил Силантьев в разговоре с ЕАН рассказывал, что атака могла затронуть лишь внешние контуры системы и проблему удастся устранить в ближайшее время. По его словам, заявления об уничтожении серверов выглядят сомнительно, а сами хакеры заинтересованы в том, чтобы усилить панику.
«Как они говорят, внедрение произошло год назад, это можно было сделать, разработав узкоспециализированный, под конкретную жертву вирусный агент. Увидеть его антивирусные системы могут далеко не всегда, но он особо ничему не вредит. Вопрос в том, как он работал и насколько был активен, является спорным: заметную активность системы «Аэрофлота» давно бы отследили и пресекли», — говорит он.
Самые разрушительные кибератаки: кто и зачем атакует инфраструктуру
Хакеры, атаковавшие «Аэрофлот», не первые, кто использует IT как инструмент давления, саботажа и заработка. За последние десять лет целый ряд международных группировок нанесли урон компаниям, государствам и частным пользователям на миллиарды долларов.
Lazarus Group, предположительно связанная с КНДР, стоит за атакой, которую назвали WannaCry. Вредоносная программа использовала уязвимость Microsoft Windows, шифруя данные на зараженных системах и требуя выкуп в биткоинах. В мае 2017 года инцидент затронул более 300 тыс. компьютеров в 150 странах. В Великобритании особенно сильно пострадала Национальная служба здравоохранения, работа которой была прервана на несколько дней. Lazarus Group подозревают и в краже активов с криптоплатформ на сумму более 5 млрд долларов, а также в атаке на Sony Pictures в 2014 году.
Российская группа Sandworm ответственна за запуск вируса NotPetya. Это был не просто вредоносный код, а инструмент цифрового разрушения: пострадали перевозчик морскими контейнерами Maersk, глобальная служба доставки FedEx, фармацевтический гигант Merck и сотни других компаний. Но самый большой ущерб группа нанесла компаниям и государственным учреждениям, особенно на Украине. Изначально NotPetya выдавал себя за вирус-вымогатель, но позже выяснилось, что это вредоносная программа-очиститель, призванная повлечь как можно больше сбоев в работе сети. Ущерб превысил 10 млрд долларов.
Есть и хакеры, которых мировая общественность считает пророссийски настроенными: в 2020 году предположительно российские специалисты проникли в системы SolarWinds, ведущей мировой компании в сфере управления IT-ресурсами. Хакеры воспользовались уязвимостью в программном обеспечении SolarWinds, что позволило им установить вредоносное ПО в сетях известных организаций. В результате атаки пострадало несколько государственных учреждений США.
Группировка Clop, специализирующаяся на цифровом вымогательстве, атаковала тысячи компаний по всему миру, эксплуатируя уязвимости в обмене данными. Действует с 2019 года, тесно связана с другими группами, предположительно базируется в странах бывшего СССР. Она не шифрует данные, а просто крадет их и угрожает публикацией, если жертва не заплатит. Это облегчает масштабирование атак и повышает давление: срыв конфиденциальности часто опаснее блокировки. Группа известна агрессивной тактикой давления: отправка писем СМИ, топ-менеджменту, публикации «тизеров» с украденными данными. По заявлениям самих хакеров, общий объем выкупов превысил 500 млн долларов. Общий объем затронутых персональных данных — более 80 млн записей.
Среди наиболее активных игроков на рынке хакерства - Conti и LockBit. Они действуют по модели ransomware-as-a-service (RaaS), при которой основная команда разрабатывает вредоносное ПО, а его распространением занимаются «партнеры» — аффилиаты, получающие долю от выкупа. Такая схема делает атаки масштабными и непрослеживаемыми.
Conti действовала с 2019 по 2022 год и имела тесные связи с российским киберподпольем. После начала СВО часть их внутренних чатов была слита и и группа прекратила деятельность под этим брендом, но участники перешли в другие группировки, например Royal и Black Basta.
LockBit продолжает активно работать: по данным на 2024–2025 годы, она ответственна почти за половину всех атак с вымогательским ПО по миру. Группа регулярно выкладывает украденные данные на своем даркнет-портале, если жертва отказывается платить.
Жертвами становятся государственные учреждения: министерства, мэрии, налоговые службы в США, Франции, Японии, Италии. Попадают под удар больницы и медицинские учреждения. Десятки атак зафиксированы по всему миру, включая детские клиники и онкоцентры, крупные промышленные и логистические компании: пострадали AirAsia, Royal Mail, Continental, университеты и исследовательские центры.
Везде вымогатели рассчитывали на быстрое соглашение из-за риска утечки конфиденциальных данных и разработок. Эти группировки действуют без политических заявлений, их цель — только прибыль. Они следят за деловой активностью и финансовым оборотом компаний, прежде чем атаковать, иногда даже предоставляют «службу поддержки» жертвам, чтобы те могли «удобнее» заплатить выкуп.
Цифровая война: новые цели и угрозы
В отличие от классических киберпреступников современные хакер-активисты действуют не ради выкупа, а для создания политического эффекта. Атака на «Аэрофлот» стала символичной: удар по крупнейшей авиакомпании страны - по инфраструктуре, которой доверяют миллионы.
Тактика изменилась: теперь целью становится не просто кража информации, а разрушение доверия к системам. Это заставляет заново осмыслить понятие кибербезопасности — особенно в секторах, где сбои могут стоить жизни.
Хакеры изменили тактику атак на российский бизнес29 июля в 13:34
