28 июля группировки Silent Crow и «Киберпартизаны BY» провели масштабную атаку на корпоративную сеть ПАО «Аэрофлот», передает Bizmedia.kz со ссылкой на ЦАРКА.
По информации хакеров, к утру было уничтожено более 7 000 серверов и рабочих станций в офисах Шереметьево, Мелькисарово и дата-центрах компании. Стерты внутренние системы и базы данных: CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1 °C, системы безопасности и др. На данный момент Аэрофлот сообщил о возобновлении нормальной работы и что планирует выполнить 93% рейсов из Москвы и обратно, — говорится в публикации ЦАРКА.
Ключевые факты взлома:
- В сети использовались Windows XP и Windows Server 2003.
- Пароли сотрудников, включая топ-менеджмент, не менялись годами. По данным хакеров, гендиректор Аэрофлота использовал один пароль с 2022 года.
- Хакеры находились в инфраструктуре более года и выкачали массивы данных: переписка, звонки, история перелётов, архивы.
— Ирония в том, что за месяц до атаки Аэрофлот подписал соглашение о сотрудничестве в сфере кибербезопасности с компанией Bi.Zone (дочка Сбербанка). Документ подписали директор Bi.Zone Дмитрий Самарцев и генеральный директор Аэрофлота Сергей Александровский, тот самый, чей пароль, по информации хакеров, не менялся с 2022 года. На церемонии также присутствовал Герман Греф, — сообщили в центре анализа и расследования кибер атак.
По данным ЦАРКА, Аэрофлот — объект критической инфраструктуры. Данный кейс показал, что инциденты ИБ способны за считанные часы обрушить бизнес- и гос процессы.
В Казахстане аналогичным объектам присваивается статус КВОИКИ, и требования к их защите не должны быть формальностью. Однако, практика показывает, что до реальной киберустойчивости многим ещё далеко.
— В Казахстане вопросы кибербезопасности авиасегмента также поднимаются регулярно. В 2021 году исследователь через багбаунти-платформу выявил критическую уязвимость в почтовой системе столичного аэропорта, которая потенциально давала доступ к внутренним сервисам. Инцидент удалось предотвратить, но он наглядно показал, насколько тонка грань между безопасностью и катастрофой. ИБ-сообщество Казахстана знает кейсы, когда злоумышленники зашифровывали системы акиматов, университетов, нефтехимических предприятий и нацхолдингов, — говорится в материале.
Также отмечается, что отдельная угроза — это целевые атаки (APT), которые могут годами находиться в инфраструктуре объектов КВОИКИ, оставаясь незамеченными. Такие группы не просто крадут данные, а закладывают механизмы для будущих атак. Отсутствие катастрофичных инцидентов в Казахстане не означает, что их не может произойти — это лишь сигнал, что закладки пока не были активированы. Этот фактор должен стать триггером для постоянного мониторинга, threat hunting и проверки инфраструктуры на признаки скрытого присутствия.
— У КВОИКИ должны быть отработанные сценарии восстановления, включая изолированные резервные копии. Без них любая атака превращается в конец инфраструктуры, а не просто в инцидент. В Казахстане требования к бэкапам есть, но на практике они часто не работают. Внедрение 2FA в корпоративном сегменте — не опция, а обязательный стандарт. Один пароль — это вчерашний день: фишинг, утечки и перебор учетных данных делают его уязвимым. В Казахстане лишь единицы КВОИКИ используют 2FA внутри корпоративного сегмента. Чаще защищают внешний периметр, забывая, что взлом одной учетной записи внутри сети открывает путь ко всей инфраструктуре, — отметили в центре.
В ЦАРКА указали, что Windows XP в 2025 году — это не анахронизм, а открытая дверь для кибератак. Microsoft прекратила поддержку XP в 2014 году, и любая уязвимость в этой системе навсегда остается «дырой». В Казахстане XP до сих пор встречается на рабочих станциях и даже серверах промышленных объектов. Это критический риск для национальной безопасности.
В центре отметили, что ни одна технология не спасет, если нет дисциплины, контроля и постоянной работы по улучшению защиты. Реальные действия — это обновления, 2FA, изолированные бэкапы, обучение сотрудников и проверка планов восстановления. Инцидент с Аэрофлотом ясно показал: в мире нет защищённых систем. Есть только те, кто готов к атаке — и те, кто просто надеется, что она не случится.
