Аэрофлот

Как я и сказал, инфошума у вас сейчас на тему хакерской атаки наверняка хватает, так что давайте чуть успокоимся и попробуем все-таки разобраться, что произошло и чего ждать дальше.

Сегодня утром стало известно о взломе инфраструктуры Аэрофлота. В самом начале пиар компании называл это обычным техническим сбоем, но позже признался в том, что это плоды хакерской атаки. Позже эта информация была подкреплена со стороны Генпрокуратуры.

Сбой этот действительно нештатный, так как работа компании была парализована, начали отменяться регулярные рейсы, а Аэрофлот, судя по всему, до сих пор не может вернуть себе доступ к скомпрометированной информатуктуре или восстановить ее. Купить/вернуть билеты нельзя, рейсы продолжают отменяться, в аэропортах все еще локальный хаос.

Пока что ответственность за эту атаку на себя взяла группировка Silent Crow и Киберпартизаны BY, которые заявляют, что взлом начался еще год назад, когда они первый раз получили доступ к корпоративной сети. И все это время они подготавливали почву, скрываясь в тылу жертвы.

В сеть уже слиты скриншоты, подтверждающие этот доступ, а еще в подробностях перечислили состав всего добра, которое там находится (гипервизоры, кластеры, сервера, вендорское ПО). В том числе операционок 20-ти летней давности, из-за которых и мог начаться взлом. Ну а еще, по их заявлениям, они смогли вытащить порядка 22 терабайт данных, в том числе и конфиденциальных.

Выставляется это событие, как хактивистское послание, но не исключено, что это просто результат того, что ребята из Аэрофлота решили не сотрудничать с хакерами и отказались платить выкуп.

Иронично то, что буквально накануне этого события, Аэрофлот заключил партнерства сразу с несколькими компаниями (Бастион, BIZONE, Ростелеком) в целях усиления своей киберзащиты.

Также в сети уже начинают появляться утечки аудиторских отчетов компании, по которым можно понять, какие именно средства защиты и от каких вендоров не справились с тем, чтобы за целый год выявить злоумышленников внутри своего периметра. Ну а еще в сеть начинают сливаться скрины из чатов (само собой, Телеграмовских) безопасников и айтишников Аэрофлота, где они горячо обсуждают случившийся взлом, кого уже уволили и кто мог подвести всю компанию.

Акции Аэрофлота стремительно летят вниз, сотрудники компании переживают за свое будущее, а все начинают искать, за что бы еще зацепиться. Например, за то, что глава Аэрофлота Сергей Александровский ни разу не менял пароль от своей учетки (ну серьезно?). Ну или все начали форсить, что зарплаты безопасников в компании сопоставимы с сотрудниками Пятерочки. Кто-то начинает нагнетать, что "восстановление систем после хакерской атаки можетзанять до полугода" (тут даже комментировать нечего).

Можно ли не встать после такой кибератаки? Думаю, что можно, но Аэрофлот скорее всего не та компания, которая себе такое позволит. Выиграли ли хакеры? Пока мы это обсуждаем, порицаем Аэрофлот и продолжаем форсить все новые грязные подробности – да. Произошел ли этот инцидент из-за того, что в компании плохие безопасники или из-за того, что за взломом стоят лучшие хакеры? Нет, от этого никто не защищен, сколько бы не было влито денег в ИБ. Стоит ли делать какие-то выводы сейчас? Нет, нужно просто дать ребятам время и подождать, я уверен, что они изо всех сил сейчас тушат пожар, а осуждение и порицание никак им в этом не поможет.

Ну а кому в итоге верить – атакующим и пострадавшим, решать вам, но думаю, что правда будет всегда где-то посередине.

Вот так и надо начинать понедельники, что сказать.

Твой Пакет Безопасности

В этом посте были ссылки, но мы их удалили по правилам Сетки