Восстановление части IT-систем «Аэрофлота» после масштабной кибератаки может занять до двух месяцев, а полное — до одного года. Инцидент привел к отмене более ста рейсов, а восстановление полетов компания проводила за счет мобилизации ресурсов в Шереметьево. Расследование уголовного дела ведется под надзором Генпрокуратуры. Эксперты надеются, что ситуация стабилизируется до конца недели.
Утром 28 июля в инфраструктуре авиакомпании «Аэрофлот» произошел сбой. Вскоре после этого две хакерские группировки — «Киберпартизаны BY» и Silent Crow — заявили о проведении «успешной продолжительной операции», в результате которой была «полностью скомпрометирована и уничтожена внутренняя IT-инфраструктура» «Аэрофлота». Позднее Генпрокуратура РФ подтвердила, что сбой стал результатом хакерской атаки, а также сообщила о возбуждении полицией уголовного дела о неправомерном доступе к компьютерной информации (ч. 4 ст. 272 УК РФ).
Отмены рейсов авиакомпании «Аэрофлот» из Москвы начались с рейса в Екатеринбург, который должен был улететь в 8:35. Часть рейсов «России» (за продажу билетов которой отвечает «Аэрофлот») продолжила вылетать из Шереметьево, сам «Аэрофлот» начал отправку рейсов с 14:00. «Аэрофлот» сообщил об отмене 54 парных рейсов (туда-обратно). Остальные 206 рейсов из запланированных 260 «планировались к выполнению». В период с 00:00 мск по 12:00 авиакомпания выполнила 76 рейсов из 123 запланированных в/из Шереметьево. Как уточнил близкий к компании источник “Ъ”, «рейсы выполнялись за счет мобилизации ресурсов компании в Шереметьево». Другой собеседник “Ъ” в «Аэрофлоте» затруднился оценить сроки окончательного восстановления систем. По оценке собеседника “Ъ” в экспертном IT-сообществе, если доступ к системам резервирования будет восстановлен в ближайшее время, то «есть вероятность полной стабилизации расписания до конца недели».
В Минтрансе заявили, что в случае новых вынужденных отмен «будет сокращаться число полетов на многочастотных маршрутах, где работают альтернативные перевозчики», с ними ведется работа по «корректному подходу к ценам на билеты». Для специалистов «Аэрофлота» на инфраструктуре аэропорта Шереметьево развернули дополнительные рабочие места.
Близкий к Минтрансу собеседник “Ъ” уточнил, что пока «нет понимания окончательного масштаба ситуации» и того, какое время потребуется для восстановления полной или частичной работоспособности систем.
По его версии, информация о «полном уничтожении критически важной составляющей IT-систем и информации» соответствует действительности, но от деталей и оценок возможностей резервного восстановления он воздержался. Другой собеседник “Ъ” в самом Минтрансе подчеркнул, что «никакого подтверждения полного уничтожения IT-инфраструктуры» нет. Как убедился корреспондент “Ъ”, к 16 часам 28 июля в Шереметьево очередей и ситуации транспортного коллапса не было.
Хакеры из группировки Silent Crow сообщили об атаке в 9 утра по московскому времени. По собственным словам, они находились внутри корпоративной сети «Аэрофлота» на протяжении года и «методично развивали доступ, углубляясь до самого ядра инфраструктуры», им удалось получить и выгрузить полный массив данных об истории перелетов, скомпрометировать все критические корпоративные системы, скопировать данные с компьютеров и серверов, в том числе с тех, на которых хранились записи телефонных и видеозвонков. В результате хакерской атаки, якобы было уничтожено 7 тыс. серверов, а объем полученной информации оценивается в 22 Тб. Основной целью своей кампании «Киберпартизаны BY» назвали желание «нанести финансовый ущерб РФ и привести к транспортному коллапсу».
Летом 2023 года «Аэрофлот» и «Ростелеком» в рамках ПМЭФ подписали соглашение о сотрудничестве в области кибербезопасности. Компании планировали совместно тестировать и внедрять импортонезависимые решения в области сетевой инфраструктуры, в том числе связанные с обеспечением кибербезопасности. Эта задача должна была быть реализована с участием экспертов «РТК-Солар» (входит в структуры «Ростелекома»). В компании от комментариев отказались.
После выхода материла источники “Ъ”, близкие к «Аэрофлоту», сообщили, что ГК «Солар» является не единственной, занимающейся ИБ, в авиакомпании.
За ситуацией следит Роскомнадзор. «Сообщения злоумышленников о компрометации персональных данных клиентов или сотрудников компании пока не подтверждаются фактами»,— сообщили “Ъ” в службе. Там добавили, что ожидают информацию от «Аэрофлота», после чего будет принято решение о целесообразности проверки.
Источник “Ъ”, близкий к Минтрансу, затруднился спрогнозировать, будет ли «Аэрофлот» привлечен к ответственности за возможную утечку данных: «Нет подтверждения, что она действительно произошла».
В то же время он предполагает, что в ходе расследования уголовного дела будет тщательно проверяться как возможная халатность со стороны кого-то из сотрудников департамента информбезопасности авиакомпании, так и со стороны подрядных компаний, отвечающих за эти вопросы. Как стало известно “Ъ”, атаку под надзором прокуратуры расследуют транспортная полиция и служба экономической безопасности ФСБ. Обвиняемых и подозреваемых пока нет, но в случае, если системы признают недостаточно защищенными, отвечать за это придется менеджерам компании.
Недополученная выручка «Аэрофлота» от отмены около сотни рейсов 28 июля может составить около 275 млн руб. при потерях в 2,8 млн руб. от одного рейса, оценивает старший аналитик «Эйлер» Андрей Полищук. «Если полеты будут ограничены до трех дней, то эффект на финансовые результаты компании будет в рамках погрешности»,— уточняет он. Если же перебои будут длиться недели, а восстановление потребует больших финансовых вложений, то это может значительно повлиять на прогнозные дивиденды по итогам года. Такую оценку считает завышенной старший аналитик Альфа-банка Анастасия Егазарян. Около 100 рейсов составляют менее 0,1% от ежеквартального или менее 0,03% от годового числа рейсов группы, напоминает она. Также при отмене рейсов не все издержки носят постоянный характер: «Авиакомпания не расходует топливо и не оплачивает взлет и посадку, кейтеринг и т. д.».
Атака негативно отразилась на стоимости акций компании. В первой половине дня котировки опускались ниже отметки 57 руб., теряя более 4%. После небольшой паузы игра на понижение возобновилась и цены обновили минимум с начала 2025 года, достигнув 55,7 руб. По окончании основной сессии они закрылись чуть выше отметки 56,5 руб. При этом объем торгов достиг 6 млрд руб., максимального значения с марта этого года.
По заявлениям и опубликованным данным можно говорить о классической APT-операции (целенаправленные и длительные кибератаки), отмечают в «Информзащите». Продолжительное скрытое присутствие в инфраструктуре, захват критически важных систем свидетельствуют не об одиночной точечной атаке, а о системной работе внутри сети.
Источник “Ъ” в сфере информационной безопасности заявил, что ущерб от такой атаки оценить сложно: кроме прямых потерь из-за сбоев и восстановления инфраструктуры есть возможные государственные санкции и штрафы, ведь «"Аэрофлот" — стратегическая госкомпания, с объектами критической инфраструктуры».
В среднем восстановление после масштабной кибератаки может занять от нескольких недель до шести месяцев, отмечает ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов. «Один-два месяца уходит на восстановление критических IT-систем, остальное — на настройку защиты, аудит, пересмотр процессов и возврат доверия клиентов. Полная стабилизация может затянуться до года, если инфраструктура разрушена и резервные копии недоступны»,— добавил он.
0
75.00
