Хакеры взломали "Аэрофлот"
В 7:43 утра, 28 июля 2025 г., ПАО "Аэрофлот" опубликовало в официальном Telegram-канале компании "По SUти" сообщение, согласно которому в работе информационных систем авиакомпании произошел сбой. Он привел, по словам компании, к корректировкам расписания, переносам и отменам рейсов.
Чуть больше чем через час, в 8:57 утра, хакеры из Silent Crow рассказали в Telegram-канале группировки, что они и хактивисты из группы "Киберпартизаны BY" скомпрометировали и разрушили внутреннюю ИТ-инфраструктуру российского авиаперевозчика. Согласно сообщению, они находились во внутренней корпоративной сети "Аэрофлота" с лета 2024 г. и за год смогли добраться до ядра инфраструктуры. Авторы сообщения отметили, что за это время хакерам удалось скомпрометировать все критические корпоративные системы (CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, 1C, DLP и др.), получить контроль над компьютерами сотрудников, включая высшее руководство (позже "Киберпартизаны BY" опубликовали сообщение, в котором рассказали, что пароль генерального директора "Аэрофлота" Сергея Александровского не менялся с 2022 г.).
"Мы получили доступ к 122 гипервизорам, 43 инсталляциям виртуализации ZVIRT, около сотни iLO-интерфейсов для управления серверами, четырем кластерам Proxmox. В результате действий было уничтожено около 7000 серверов - физических и виртуальных. Объем полученной информации - 12TB баз данных, 8TB файлов с Windows Share, 2TB корпоративной почты", - говорится в сообщении хакеров.
Они пообещали в будущем "слить" украденные данные в Сеть.
https://www.comnews.ru/content/239420/2025-05-28/2025-w22/1008/khakersk…
Затем, в 10:12 утра, в том же канале авиаперевозчик опубликовал список из 42 отмененных рейсов. "Аэрофлот" пообещал возврат денежных средств пассажирам в ближайшие 10 рабочих дней. Позже, в 11:11 утра, список отмененных пополнили семь рейсов и еще восемь задержались.
В 13:04 Генеральная прокуратура РФ опубликовала сообщение, согласно которому Московская межрегиональная транспортная прокуратура взяла под контроль ситуацию в аэропорту Шереметьево. Ведомство подтвердило, что главная причина сбоя - хакерская атака, и возбудило уголовное дело по признакам преступления, предусмотренного ч.4 ст.272 УК РФ (неправомерный доступ к компьютерной информации).
В 14:38 "Аэрофлот" сообщил, что продолжает операционную деятельность, и опубликовал возможные сценарии для пассажиров отмененных рейсов. В 16:50 Министерство транспорта РФ рассказало, что "Аэрофлот" отменил 54 парных рейса (туда-обратно) за понедельник, 28 июля, а остальные 206 рейсов из запланированных 260 готовились к выполнению.
"Приоритет в расписании "Аэрофлота" отдан рейсам на Дальний Восток, в Калининград, Сочи, Минеральные Воды и за рубеж, в том числе на широкофюзеляжных самолетах", - говорится в сообщении ведомства.
В 19:50 "Аэрофлот" опубликовал новый список отмененных рейсов. В нем было пять рейсов в Москву из разных городов России на 28 июля и еще семь на 29 июля. Тремя минутами позже в официальном Telegram-канале компании появился ролик, в котором можно видеть ситуацию в аэропорту Шереметьево, мало чем отличающуюся от обычной.
По словам представителя пресс-службы ОАО АК "Уральские авиалинии" ("дочка" "Аэрофлота") хакерская атака не затронула ИТ-системы авиаперевозчика. Он отметил, что ИТ-инфраструктура компании отделена от ИТ-инфраструктуры "Аэрофлота".
Представители пресс-службы "Аэрофлота" и другой дочерней компании авиаперевозчика - авиакомпании "Россия" не ответили на вопросы корреспондента ComNews.
Согласно сообщению АНО "Агентство по развитию и продвижению туризма" (Ассоциация туроператоров), 28 июля "Аэрофлот" отменил 54 парных рейса из 260. Среди них в основном внутренние рейсы из аэропорта Шереметьево и несколько рейсов из стран СНГ, а зарубежная полетная программа оказалась не затронута атакой. Ассоциация отметила, что сбой мог затронуть более 20 тыс. пассажиров.
https://www.comnews.ru/content/240386/2025-07-28/2025-w31/1008/rossiysk…
Медийное преувеличение
Представитель пресс-служб АО "Лаборатория Касперского", ООО "Юзергейт" (UserGate), группы компаний "Солар" и АО "Позитив Текнолоджиз" не ответили на вопросы корреспондента ComNews.
Директор департамента расследований ООО "Ти Хантер" (T.Hunter) Игорь Бедеров отметил, что заявления хакеров частично подтвердились результатами сбоя, однако они требуют проверки. Он отметил, что уничтожение "всей инфраструктуры" невозможно.
"Потенциальный ущерб для компании может составить десятки миллионов долларов прямых потерь из-за остановки рейсов, затрат на восстановление, а также штрафов за утечку данных примерно до 500 млн руб. Полное физическое уничтожение всей ИТ-инфраструктуры крупной авиакомпании технически невозможно и является медийным преувеличением. Заявление Silent Crow о "полном уничтожении" - это либо пропагандистский штамп, либо сознательное искажение", - заявил он.
Игорь Бедеров отметил, что физическая распределенность инфраструктуры предполагает, что уничтожить более 7000 серверов физически или удаленно за одну атаку невозможно, и обратил внимание, что часть систем (бронирование и погодные сервисы) авиаперевозчика работают в публичных облаках и уничтожить их может только облачный провайдер, а не внешние хакеры. По его словам, критическая инфраструктура уровня "Аэрофлота" включает автономные backup-системы, недоступные для хакеров, и дизастер-рекавери (DRP) - выделенные площадки для аварийного восстановления (например, в другом городе).
"Уничтожить их вместе с основной инфраструктурой невозможно без физического доступа. Бортовые системы самолетов не зависят от корпоративной сети и управляются отдельно. Так же как и аэропортовое оборудование (диспетчерские вышки, системы посадки ILS) - изолированные госсистемы, не входящие в инфраструктуру авиакомпании.
https://www.comnews.ru/content/239494/2025-05-30/2025-w22/1009/rossii-u…
Кому и что за это будет
"Аэрофлоту" (как компании) уголовная ответственность по ст.272 УК РФ не грозит. Уголовное дело возбуждено по факту преступления, совершенного хакерами (неправомерный доступ к компьютерной информации). "Аэрофлот" в данном контексте является потерпевшей стороной - жертвой хакерской атаки. Компания сама не обвиняется в совершении преступления по этой статье", - рассказал член московского отделения Ассоциации юристов России Александр Зелинко.
С ним согласился адвокат, партнер ООО "Агентство юридической безопасности Интеллект-С" (Intellect) Дмитрий Загайнов. Он отметил, что к уголовной ответственности по ст.272 УК РФ привлекаются физические лица, совершившие неправомерный доступ к охраняемой законом компьютерной информации с последующим уничтожением, блокированием, модификацией или копированием последней.
"Семь лет лишения свободы - это санкция, предусмотренная ч.4 ст.272 УК РФ за неправомерный доступ к компьютерной информации, если произошли тяжкие последствия или создана угроза их наступления. К уголовной ответственности в данном случае привлекаются лица, которые совершили хакерскую атаку (хакеры), - физические лица, установленные следствием в ходе расследования. "Аэрофлот" как компания к этой уголовной ответственности не привлекается, если не будет доказано, что сотрудники самой компании участвовали в атаке", - рассказал он.
По словам Александра Зелинко, пассажиры или партнеры, пострадавшие от взлома или чьи данные скомпрометированы, могут подать иски о возмещении ущерба или морального вреда. Он отметил, что если проверка Роскомнадзора или других ведомств выявит нарушения в защите персональных данных, то "Аэрофлот" попадет под административную ответственность.
В таком случае, по словам управляющего партнера адвокатского бюро "Юг" Юрия Пустовита, авиаперевозчику грозит штраф по ч.17 ст.13.11 КоАП РФ - "действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации" - в размере от 15 млн до 20 млн руб.
"Размер штрафа, особенно по ч.7 ст.13.11 КоАП, может корректироваться судом в зависимости от характера, масштаба и последствий нарушения. Основной же ущерб будет репутационный и от гражданских исков. Если будет доказан умысел или грубая неосторожность конкретных должностных лиц компании в нарушении требований к защите ПДн, повлекшая тяжкие последствия, теоретически возможна их уголовная ответственность по ст.274.1 УК РФ - "Неисполнение обязанностей по обеспечению безопасности хранения, обработки и передачи охраняемой компьютерной информации". Но это сложно доказуемо и маловероятно в стандартном сценарии хакерской атаки на крупную компанию", - заключил Александр Зелинко.
https://www.comnews.ru/content/239298/2025-05-21/2025-w21/1008/spros-ki…
