Редколонка / август 2025

Атака на "Аэрофлот": единичный случай или цепочка кибератак на крупные российские компании

Павел
Королев
корреспондент ComNews.ru
© ComNews
04.08.2025

Недавно ПАО "Аэрофлот" пережило крупную хакерскую атаку. Ответственность за нее взяли группировки "Ки­бер­пар­ти­заны BY" и Silent Crow, которые заявили, что уничтожили всю ИТ-инфраструктуру компании. Была акция разовой или хакеры уже нацелились на другие крупные российские компании?

Хакеры сообщили, что находились в системах "Аэрофлота" в течение года (с лета 2024-го) и за это время смогли добраться до ядра инфраструктуры, из-за чего им удалось скомпрометировать все критические корпоративные системы и получить доступ к компьютерам сотрудников. Если хакеры не обманывают, то выглядит странным тот факт, что за целый год специалисты по информационной безопасности так и не смогли обнаружить (и отразить) атаку.

Также киберпреступники сообщили, что глава "Аэрофлота" Сергей Александровский не менял пароль с 2022 года. Но вряд ли это можно назвать главным узким местом при проникновении в инфраструктуру компании.

https://www.comnews.ru/content/240411/2025-07-29/2025-w31/1007/khakery-vzlomali-aeroflot

Попробуем предположить, по какой причине или по чьей вине произошла такая крупная и длительная кибератака. Если хакеры проникли в инфраструктуру компании и находились в ней целый год, значит, есть проблема в самой инфраструктуре и в ее защите. Посмотрим, кто же обеспечивал эту защиту для "Аэрофлота". Возможно, проблема именно в поставщиках ИТ- и ИБ-решений.

В последние годы "Аэрофлот" активно сотрудничал с АО "Рамакс Интернейшнл". На сайте госзакупок (zakupki.gov.ru) можно обнаружить множество заключенных до 2021 года контрактов между двумя компаниями. Например, одни из последних госзакупок, в которых участником выступало АО "Рамакс Интернейшнл", а заказчиком ПАО "Аэрофлот":

  • техническая поддержка систем защиты персональных данных внешнего сайта ПАО "Аэрофлот" и платформы Sabre IX;
  • оказание услуг по поддержке и сопровождению бизнес-критичных систем АО "Аэромар" в ЦОД ПАО "Аэрофлот" SAP и Cbase;
  • закупка лицензий ПО Changeauditor For Activedirectory, Changeauditor For MsExchange, Recovery Manager For Activedirectory, Recovery Manager For MsExchange;
  • реализация, эксплуатация и техническая поддержка системы контроля и корректировки проблемных данных, поступающих в систему производственной отчетности.

Также в 2023 году "Аэрофлот" заключил контракт с ПАО "Ростелеком" на сотрудничество в области обеспечения кибербезопасности авиакомпании. Соглашение предполагает развитие корпоративной сети передачи данных, импортозамещение программного обеспечения и оборудования. Задачу планировалось реализовать с участием дочернего предприятия "Ростелекома" - "РТК-Солар".

Еще одной причиной хакерской атаки мог стать переход на отечественные ИТ- и ИБ-решения. До 2022 года "Аэрофлот" не торопился приступать к импортозамещению систем. Инфраструктура компании почти на 100% состояла из софта трех крупнейших западных вендоров - SAP, Sabre и Lufthansa.

Но с 2022 года началась замена всей инфраструктуры на отечественные решения. "У нас около 134 ИТ-систем, из них 31 уже является отечественной, 84 будут заменены на отечественные аналоги до конца 2024 года. Также в 2024-м мы полностью заменим все программное обеспечение по критической информационной инфраструктуре, а доля затрат на отечественное ПО составит свыше 82%", - заявил в 2022 году Сергей Александровский.

В итоге, например, вместо Sabre внедрили отечественную систему бронирования "Леонардо" от компании "Сирена-Трэвэл" (руководство компании, к слову, находится под следствием - в 2023 году "Сирена-Трэвэл" также не смогла отразить хакерскую атаку). Шведскую систему технического обслуживания воздушных судов AMOS заменили на "Купол" от "Ростеха". Софт от SITA - на Авиационную сервисную платформу, разработанную ФГУП "ЗащитаИнфоТранс". Многие ИТ-системы "Аэрофлот" создает собственными силами.

Однако за три года "Аэрофлот" не успел заменить все ИТ-системы на российские аналоги. В итоге в данный момент в инфраструктуре компании наблюдается смесь из российского и западного софта. Поэтому найти среди этого что-то уязвимое - для хакеров лишь вопрос времени. Более того, иностранный софт в сфере авиаперевозок существует десятилетиями и обкатан на тысячах заказчиков. Свежий российский (возможно, сделанный на скорую руку) - пока все-таки менее надежный выбор.

Хорошо, если эта атака окажется единичным случаем. А что если хакеры на ней не остановятся и продолжат атаковать крупнейшие российские компании? Например, РЖД, который в сфере кибербезопасности и технологических сетей связи сотрудничает с тем же "Ростелекомом". Соглашение компании подписали в декабре 2021 года сроком на четыре года. То есть оно еще действует как минимум до декабря 2025-го.

А что если хакеры, как и в случае с "Аэрофлотом", уже какое-то продолжительное время находятся в инфраструктуре РЖД? Возможно, специалистам по информационной безопасности РЖД и "Ростелекома" стоит в срочном порядке проверить ИТ-системы компании и успеть предотвратить потенциальную атаку. Иначе пассажирам железнодорожного транспорта также придется откладывать поездки, пересаживаться на автобусы, а билеты покупать в кассах вокзалов за наличные (кто знает - затронет ли хакерская атака приложение для покупки билетов).

В общем, предположений много - ответов практически нет. Возможно, в ближайшее время, после полного расследования инцидента мы получим все ответы. Будем надеяться, что это все-таки разовый случай и другим российским компаниям не о чем беспокоиться. Но проверить ИТ-инфраструктуру лишним не будет. Системы защиты могут быть сильны, но и хакеры не дремлют.