Хакерские
группировки заявили об успешной атаке на ИТ-инфраструктуру «Аэрофлота». Поддерживающие
Украину хакеры говорят об уничтожении 7 тыс. серверов национального
перевозчика. Эксперты по кибербезопасности считают эти заявления преувеличенными.
Тем не менее, десятки рейсов «Аэрофлота» отменены.
Как такая
атака стала возможна и сколько времени уйдет на восстановление — разбирался Mashnews.
Фото: FreepikХод
событий
Ранним утром
28 июля пресс-служба авиакомпании «Аэрофлот» сообщила, что в работе ее информационных систем произошел сбой. Затем «Аэрофлот» уточнил, что продолжает операционную деятельность, но в условиях ограничений
из-за сбоя ИТ-инфраструктуры. 28 июля авиакомпания отменила 54 парных рейса (туда-обратно). Позднее Минтранс в своем telegram-канале сообщил, что заместитель министра транспорта Владимир Потешкин провел в аэропорту
Шереметьево совещание, на котором спланированы шаги по нормализации ситуации. Заявлено, что 206 рейсов из запланированных на 28 июля
260 были выполнены.
Днем 28 июля
белорусская хакерская группировка «Киберпартизаны BY» опубликовала в своем telegram-канале заявление, в котором взяла на себя ответственность за взлом инфраструктуры
«Аэрофлота». Согласно тексту заявления, атака была организовано совместно с
группировкой Silent Crow. Хакеры, по их словам, уничтожили свыше 7 тыс. серверов и
рабочих станций в офисах и дата-центрах в Шереметьево и Мелькисарово (там находится
штаб‑квартира «Аэрофлота»), ликвидировали базы данных и информационные системы,
системы безопасности и другие элементы структуры корпоративной сети «Аэрофлота».
По утверждениям группировки, восстановление займет много времени. Большая часть
данных для авиакомпании потеряна навсегда.
Московская
межрегиональная транспортная прокуратура взяла на контроль ситуацию в аэропорту
Шереметьево. Возбуждено
уголовное дело по признакам преступления, предусмотренного частью 4 статьи 272
УК РФ (неправомерный доступ к компьютерной информации).
В
Роскомнадзоре на запрос Mashnews вечером 28 июля ответили, что ведомство следит за ситуацией.
Сообщения злоумышленников о компрометации персональных данных клиентов или
сотрудников компании пока не подтверждаются фактами. Роскомнадзор ожидает
информацию от «Аэрофлота» и примет решение о целесообразности проверки с учетом
всех обстоятельств.
Воспринимаем
заявление с осторожностью
Атаковавшие
«Аэрофлот» хакеры заявили, что в течение продолжительного времени готовились к
атаке. Эксперты разошлись во мнениях относительно правдивости их слов.
Подобные
заявления хакеров нужно воспринимать с осторожностью, объяснил проджект
менеджер MD Audit (ГК Softline) Кирилл Лёвкин. По его словам, хакеры часто
завышают масштаб атаки для психологического давления или саморекламы.
«Однако
теоретически длительная атака с внутренним присутствием злоумышленников в
ИТ-инфраструктуре возможна — особенно если использовались целевые фишинговые
атаки, уязвимости нулевого дня и замаскированные средства удаленного доступа.
Современные инфраструктуры сложны и требуют постоянного мониторинга. И даже
крупные компании могут не заметить утечку или вредоносную активность сразу», — сказал эксперт.
Полное
разрушение виртуальной и физической инфраструктуры — крайне маловероятно, полагает
Кирилл Лёвкин, «но не невозможно при полном доступе с высоким уровнем
привилегий».
«Аэрофлот» —
огромная компания с гигантской инфраструктурой, говорит технический директор
ООО «Ди Эл Би Ай» (DLBI) Ашот Оганесян. «Только уничтоженных хакерами серверов
называют около 7 тысяч. Понятно, что хакеры довольно долго разведывали все это
и осматривались в поисках интересного. Кроме того, возможно им потребовалось повышать
изначальные привилегии аккаунтов, под которым они попали в систему, а это тоже
занимает время», — объяснил эксперт.
Долгая
подготовка к взлому — это стандартная норма, говорит заместитель директора по
развитию бизнеса «АйТи Бастион» Константин Родин. До того момента, пока хакеры не
понимают, что их обнаружили, они будут максимально долго находиться в
инфраструктуре. Им необходимо детально изучить всю систему, а кроме этого,
получить как можно больше точек проникновения в сеть — к конкретным
компьютерам, конкретным системам, то есть охватить своим присутствием всю
инфраструктуру.
«Это вполне
себе нормальная тактика — попав в инфраструктуру с одного хода, искать вариант
получения доступа и какими-то другими способами. То есть создав бэкдоры либо
какие-то еще дополнительные точки доступа — например, дополнительные пароли.
Это делается на тот случай, если основной, первичный вход будет обнаружен», —
уточнил Родин.
«Это они [хакеры]
так сказали. Мы же не знаем, готовились они к атаке или нет. Может, врут», —
ответил на вопрос Mashnews бывший хакер, а ныне специалист по информационной безопасности Дмитрий
Артимович, который летом 2010 года вместе с братом Игорем по заказу бизнесмена Павла
Врублевского устроил DDoS-атаку против конкурента платежной
системы Chronopay — платежной системы «Ассист». В результате этого в течение
недели не работала оплата на сайте «Аэрофлота» (основной клиент «Ассист»), а
Артимович позднее был осужден на два с половиной года и отбыл срок в
колонии-поселении.
СПРАВКА MASHNEWS
- Уязвимость нулевого дня — уязвимость,
против которой пока не разработаны защитные механизмы и не выпущены обновления
безопасности.
Чаще
меняйте пароли!
Взлом
системы «Аэрофлота» стал возможен из-за того, что некоторые сотрудники
пренебрегали безопасностью паролей, заявила хакерская группировка
«Киберпартизаны BY», взявшая на себя ответственность за атаку. Они утверждают,
что гендиректор «Аэрофлота» Сергей Александровский не менял пароль с 2022 года.
По словам
хакеров, они находились в корпоративной сети перевозчика несколько месяцев, а в
сети авиакомпании используется Windows XP и 2003, «что привело к компрометации
всей инфраструктуры».
Однако
Дмитрий Артимович выразил сомнения в таком развитии событий. По его словам, если
система безопасности настроена верно, то директор не имеет доступа к серверам и
базам данных напрямую.
«Пользователи
(даже директоры) не имеют физической возможности что-то уничтожить или сломать.
Как было в «Аэрофлоте», мы, конечно, не знаем. Учитывая, что это большая госкомпания,
не удивлюсь, если бюджеты на кибербезопасность не всегда тратились по
назначению», — говорит эксперт.
Безусловно,
долгое использование одного и того же пароля повышает вероятность подбора — так
же, как и использование одинаковых паролей для внешних и внутренних сервисов,
отметил Ашот Оганесян. «Однако вряд ли пароль гендиректора открывал доступ ко
всей ИТ-инфраструктуре, так что это просто издевательское замечание,
характеризующее общий уровень ИБ в компании», — уточнил эксперт.
Как
показывает практика, хакеры применяют несколько вариантов доступа в инфраструктуру,
отметил Константин Родин. Один из них — использование уязвимостей программного
обеспечения либо оборудования, через которые хакеры могут получать удаленный
доступ. Существуют фишинговые атаки, с помощью которых злоумышленники получают
учетные данные либо заражают компьютеры вирусами, что впоследствии приводит к
полному контролю над устройством и дальнейшему доступу в инфраструктуру.
Но также не
стоит забывать, что действительно есть вероятность того, что даже сложные
пароли со временем могут быть скомпрометированы. Их могут, например, подобрать
через «брутфорс» — метод подбора паролей и ключей шифрования путем
систематического перебора всех возможных комбинаций символов.
«Сопоставляя
учетные записи, тоже можно попасть в инфраструктуру, узнав пароли. Я бы сходу
не отметал этот вариант организации атаки. Судя по масштабу атаки и тому, что
ее не выявили вовремя, она была, как минимум, очень хорошо спланирована и
здесь, скорее всего, применялось множество разных тактик и подходов», — уточнил
Родин.
Просьбы ИТ-
и ИБ-служб к сотрудникам предприятий о частой смене паролей на сложные и
неповторяющиеся — это не придумка, а действительно одно из достаточно
эффективных средств по предотвращению компрометации инфраструктуры, несанкционированного
доступа к инфраструктуре и предотвращению кибератак, резюмировал Родин.
Сроки
восстановления зависят от наличия бэкапов
Если заявления
хакеров о полном удалении серверов и резервных копий подтвердятся (а это
критично маловероятно, поскольку бизнес-континуитет в таких компаниях
обязательно предполагает бэкапы — резервные копии), то восстановление может занять от нескольких
дней до нескольких недель или месяцев — в зависимости от степени разрушений,
наличия офлайн-резервов и отказоустойчивых систем, говорит Кирилл Лёвкин.
По его
словам, основное время уйдет не только на техническое восстановление, но и на
обеспечение чистоты восстановленной среды — исключение всех возможных
«закладок» и сохранение безопасности.
«Случаи
полного уничтожения инфраструктуры крайне редки, чаще всего атакующие
предпочитают вымогательство, кражу данных или саботаж, но не полное разрушение.
Именно поэтому заявления о полном стирании 7 тыс. серверов требуют
дополнительной проверки и официального подтверждения», — уточнил Лёвкин.
Дмитрий
Артимович предполагает, что хакерам могли помогать США.
Учитывая,
что все операционные системы и железо (процессоры) изначально американские, то у
американцев есть много скрытых возможностей, объясняет Артимович. «Возможно,
они и помогли украинцам. Или поделились с ними уязвимостями нулевого дня, знаний
о которых у ЦРУ куда больше, чем у спецслужб любой другой страны. Если у «Аэрофлота»
нет бэкапов, то восстановить свои системы они не смогут», —
констатировал эксперт.
Как
допустили атаку?
Несмотря на
то, что в «Аэрофлоте» отличная служба информационной безопасности, это не
говорит о том, что совершить ту или иную атаку невозможно, отметил Константин
Родин.
«Как говорится,
самый надежный компьютер — это счеты, потому что они не взламываются. Заявлять о
100% защите крайне сложно. Мы всегда с точки зрения информационной безопасности
говорим только о минимизации рисков и о попытке быстрого предотвращения. Как
мера защиты существуют honeypot (ресурсы, представляющие собой приманку для злоумышленников),
но при этом нет стопроцентной гарантии, что хакер попадет в эту сеть», —
добавил эксперт.
Хакерам
удалось осуществить атаку по той причине, что ИБ-службы не предприняли всех
необходимых мер по обеспечению информационной безопасности, считает Ашот
Оганесян. А вот почему ИБ-специалисты этого не сделали, должны выяснять органы,
контролирующие состояние информационной безопасности и расследующие такого рода
инциденты. Однако в большинстве инцидентов причина одна и та же — средства,
необходимые для обеспечения информационной безопасности, понадобились в другом
месте, уточняет эксперт.
Сотрудники
ЦРУ собирают уязвимости и платят за них миллионы долларов, объясняет Дмитрий
Артимович. «Может, звезды так сошлись, что именно в веб-серверах «Аэрофлота» есть
такая уязвимость. И те американцы, которые хотят продолжения конфликта на
Украине, предоставили информацию об этой уязвимости украинцам. Или вариант
номер два — деньги на ИБ выделялись, но как часто бывает у нас, тратились не по
назначению», — предполагает Артимович.
Могут ли
осудить компьютерщиков?
В России уже
имел место случай, когда после успешной хакерской атаки сотрудники ИТ-компании стали фигурантами уголовного дела.
В 2023 году
неизвестные получили доступ к информационным системам АО «Сирена-Трэвел», в том
числе к системе бронирования авиабилетов Leonardo. Эти ресурсы включены в реестр
Федеральной службы по техническому и экспортному контролю (ФСТЭК) как субъекты
критической информационной инфраструктуры РФ. Leonardo был причинен
существенный ущерб, пассажиры тоже пострадали.
Известно,
что хакеры действовали с 25 августа по 15 сентября 2023 года, использовали
программу SSH Bruteforce для нейтрализации средств защиты компьютерной
информации, доступ к инфраструктуре получили с помощью программы
HEUR:Trojan.WInLNK.Alien.gen.
После
инцидента было возбуждено уголовное дело по статье 272 УК РФ («Неправомерный
доступ к компьютерной информации»). Затем по статье 274.1 УК РФ — о нарушении правил эксплуатации, хранения,
обработки и передачи охраняемой компьютерной информации, содержащейся в
критической информационной инфраструктуре РФ.
Фигурантами уголовного дела стали два вице-президента АО
«Сирена-Трэвел» (разработчик системы бронирования авиабилетов Leonardo) Игорь
Ройтман и Александр Кальчук. Следствие требовало отправить обоих в СИЗО, но суд
ограничился для них запретом определенных действий.
Как сообщал «Коммерсант», защите фигурантов
удалось добиться переквалификации обвинения с более тяжкого (санкция от пяти до
десяти лет) на статью 274 УК РФ — «Нарушение правил эксплуатации средств
хранения, обработки или передачи компьютерной информации и
информационно-телекоммуникационных сетей». Она предусматривает как пять
лет колонии, так и исправительные работы на такой же срок.
Сейчас материалы
следствия направили в прокуратуру, но она обвинение для суда по существу дела
не утвердила. По информации издания, причина в том, что так и осталось за кадром,
в чем состоит проступок вице-президентов.