29 июля авиакомпания “Аэрофлот” заявила, что ее расписание стабилизировалось после массовых отмен рейсов, вызванных хакерской атакой. Серверы авиакомпании были атакованы 28 июля, что привело к отмене 108 рейсов (почти 42 процентов) в этот день. Однако компания заявила, что в тот день она выполнила примерно 80 процентов рейсов, а ожидала завершить 93 процента 29 июля. Эксперты оценивают убытки “Аэрофлота” в 259 миллионов рублей (примерно 2,9 миллиона долларов) из-за нарушений. Утром 29 июля, по подсчетам информационного агентства “Интерфакс”, было отменено 53 рейса “Аэрофлота”. Во вторник днем компания назвала отмены “целенаправленными”, сообщив, что она уже восстановила свое рабочее расписание.

Украинская и белорусская хакерские группы “Silent Crow” и “Кибер Партизаны” заявили о своей ответственности за кибератаку на “Аэрофлот”. Личность тех, кто стоит за “Silent Crow”, неизвестна. До “Аэрофлота” группа заявила о ответственности за взлом Росреестра и “Ростелекома” в январе 2025 года. Все три атаки были направлены против крупных российских государственных учреждений, и хакеры не требовали выкуп, а публиковали украденные данные публично, указывая на свои политические мотивы.

“Кибер Партизаны” – это белорусская анонимная хактивистская группа, появившаяся во время протестов против спорного переизбрания Александра Лукашенко в 2020 году. За последние пять лет “Кибер Партизаны” проводили акции против властей в Беларуси и России. Эти действия включали трансляцию видеозаписей избиения протестующих по белорусскому телевидению, утечку баз данных белорусских государственных органов, публикацию жалоб, поданных в белорусском КГБ, и взлом систем находящегося в Санкт-Петербурге частного производителя дронов и Главного радиочастотного центра Роскомнадзора, федерального цензора России.

Объем атаки “Silent Crow” описывает причиненный “Аэрофлоту” ущерб как “стратегический”. Группа утверждает, что поддерживала доступ к сетям российского перевозчика примерно год, проникая в ядро его инфраструктуры и получая подробные истории полетов, включая данные о пассажирах. По словам хакеров, они получили доступ к компьютерам сотрудников и скачали записи их разговоров. Группа сообщает о том, что получила 22 терабайта данных, уничтожив 7 000 серверов. По утверждению хакеров восстановление всего может обойтись “Аэрофлоту” десятками миллионов долларов. Они описали кибератаку как “политическое послание всем сотрудникам репрессивного аппарата России”.

“Кибер Партизаны” утверждают, что они получили “первичный доступ” к сетям “Аэрофлота”, используя пароль директора компании. Согласно заявлению группы для СМИ “Зеркало”, этот пароль не менялся с 2022 года. В подробном техническом заявлении атакующие также утверждают, что они воспользовались продолжающимися устаревшими системами “Аэрофлота”, такими как Windows XP и Windows 2003. “Нашей основной целью было просто все разрушить – ‘взорвать все’, как мы говорим. Украсть данные не было целью, но мы взяли все, что смогли получить”, – сказала представитель “Кибер Партизанов” Юлиана Шеметовец “Зеркалу”, утверждая, что для восстановления данных “Аэрофлоту” потребуется недели, а может быть даже месяцы.

В файле “пароль” на рабочем столе сотрудника “Аэрофлота”

“Атака на ‘Аэрофлот’ не касалась безопасности авиации”, утверждают “Кибер Партизаны”. Представитель Юлиана Шеметовец пообещала, что хактивисты в скором времени начнут раскрывать полученные ими данные. На вопрос о том, планирует ли группа утекать персональные данные пассажиров, она сказала, что только лица, связанные с “военно-промышленным комплексом, разведкой или секретными действиями”, должны беспокоиться. Журналист Дмитрий Колезев отметил, что скачанные базы данных “Аэрофлота” могут содержать записи о перелетах, совершенных российскими чиновниками.

Оценка ущерба
Атака на ИТ-системы “Аэрофлота” представляет собой один из крупнейших киберинцидентов в истории российской авиации, по мнению “Ведомостей”. По оценкам, расстройство затронуло как минимум 20 000 пассажиров, сообщила Ассоциация туроператоров России. На аэропорту Шереметьево в Москве, где базируется “Аэрофлот”, царило хаос, поскольку пассажиры не могли вылететь или вернуть деньги за билеты. Работа персонала “Аэрофлота” была парализована, и возникли проблемы даже с заправкой самолетов, сообщил источник Телеграм-канала “Авиаторщина”.

Специалисты по кибербезопасности в целом соглашаются с утверждениями хактивистов о том, что “Аэрофлот” понес серьезные убытки от атаки, включая на свою репутацию, так как акции авиакомпании упали почти на 4 процента 28 июля из-за массовых отмен рейсов. Алексей Козлов, аналитик в компании по ИТ Spektatel, оценивает, что ущерб “Аэрофлота” может достичь 50 миллионов долларов, а полное восстановление и восстановление сетевой безопасности займет до шести месяцев. Денис Тверской, руководитель практики операционной эффективности в консалтинговой фирме Strategy Partners, согласился с этой оценкой ущерба.

Аэропорт Шереметьево, 28 июля 2025 года

Предприятие, связанное с первым заместителем руководителя Федеральной службы безопасности России (ФСБ), способствовало кибербезопасности “Аэрофлота”, по данным iStories. В июне авиакомпания подписала соглашение о сотрудничестве с Бастионом, провайдером ИТ-решений, основанным сыном первого заместителя руководителя ФСБ Сергея Королева. Сразу после основания Бастиона контрольный пакет акций был приобретен Крепостью, крупнейшим поставщиком СОРМ-оборудования для интернет-слежения в России. Валерий Битаев, известный как доверенное лицо Королева, является соучредителем “Крепости”.

Последствия
Пока неясно, столкнется ли “Аэрофлот” с наказанием за утечку данных пассажиров и сотрудников. Источник, близкий к Министерству транспорта, сообщил газете “Коммерсант” 28 июля, что до сих пор нет доказательств факта утечки. Однако тот же источник заявил, что сотрудников и подрядчиков “Аэрофлота” вероятно проверят на наличие небрежности в ходе уголовного расследования кибератаки.

Источник в “Аэрофлоте” сказал Телеграм-каналу “Мэш”, что кибератака оказалась менее разрушительной, чем говорят отчеты, вызвав “больше вреда для репутации компании, чем для ее операций”. Источник подчеркнул, что внутренние системы компании были восстановлены в течение 24 часов, и сайт и мобильное приложение снова работают, а рейсы выполняются по расписанию. “Извлечены уроки, сделаны выводы”, – добавил источник.