Утром 28 июля 2025 года все информационные системы “Аэрофлота” от корпоративной электронной почты до регистрации пассажиров вышли из строя. Сбой привел к сотням задержек рейсов и их отменам, погрузив московский аэропорт Шереметьево в хаос и затронув десятки тысяч пассажиров. Крупнейшая авиакомпания России потеряла не менее 260 миллионов рублей ($3.3 миллиона) только от отмен рейсов, а общий ущерб оценивается в десятках миллионов долларов. Недавно The Bell опубликовал расследование о том, кто и что отключил системы “Аэрофлота”. Meduza подводит итоги его ключевых выводов.

Массивный сбой, который поразил флагманскую авиакомпанию России в июле, был следствием кибератаки. Две активистские хакерские группы — Silent Crow из Украины и Cyber Partisans из Беларуси — взломали сеть компании “Бакка Софт”, маленькой технологической компании, занимавшейся разработкой мобильных и веб-приложений “Аэрофлота”. Оттуда они получили удаленный административный доступ к инфраструктуре авиакомпании. В один момент злоумышленники запустили процесс удаления данных с каждой рабочей станции — примерно 10 000 компьютеров.

Попытка злоумышленников “погасить и стереть домен” в значительной степени удалась: без подключения к основному корпоративному домену фиксированные рабочие станции (включая стойки регистрации в аэропорту) требовали учетных данных домена при запуске и переставали функционировать. Все автоматизированные процессы авиакомпании пришли в тупик.

Для предотвращения более масштабных ущербов “Аэрофлот” сначала прервал внешние коммуникационные каналы в своих офисах, а затем начал отключать питание на целых этажах. Впоследствии хакеры заявили о смогли доступ к полной истории полетов “Аэрофлота”, компрометировали критические корпоративные системы, взяли под контроль рабочие станции сотрудников, включая руководящий состав, и загрузили записи телефонных разговоров, а также данные из систем видеонаблюдения и систем мониторинга персонала. Они опубликовали скриншоты из внутренних сетей, аудиозаписи внутренних разговоров, внутренние документы (включая стратегию информационной безопасности “Аэрофлота”) и более трех гигабайт дополнительных данных — даже медицинские карты пилотов.

Среди украденных материалов были файлы, связанные с “некоммерческими полетами” авиакомпании, включая документ, подписанный представителем Министерства обороны, ссылающийся на военный транспорт — несмотря на публичное утверждение “Аэрофлота”, что она строго гражданская авиакомпания без роли в войне.

На следующие месяцы после атаки сотрудники должны были выполнять многие задачи вручную, такие как назначение пилотов на полеты. В теории, данные могли бы быть восстановлены из резервных копий, но на практике часто было неясно, какие именно резервные копии были безопасны для использования, поскольку любая из них могла содержать вредоносное ПО, установленное злоумышленниками.

Эффортов по восстановлению систем “Аэрофлота” и расследованию инцидента потребовалось усилий экспертов из нескольких ИТ-подрядчиков авиакомпании, а также от Федеральной службы безопасности (ФСБ), Министерства внутренних дел и Следственного комитета России. Публично “Аэрофлот” отнес сбой только к “неполадкам в информационных системах”, и большинству сотрудников никогда не было сказано, что произошло.

По данным The Bell, за кибербезопасность “Аэрофлота” отвечали несколько крупных фирм, и система оказалась имеющей множество уязвимостей. Некоторые из них были неизбежны из-за масштаба сети, но другие стали результатом системных недостатков.

Присутствие хакеров в сети “Бакка Софт” было обнаружено еще в январе 2025 года — за шесть месяцев до сбоя “Аэрофлота”. Хотя они были удалены тогда, компания не ввела никаких дополнительных мер безопасности, что позволило им вернуться в мае.

Факт того, что аппарат кибербезопасности “Аэрофлота” был неорганизованным еще до инцидента, упростил задачу хакерам. Ответственность за кибербезопасность была поделена между отделом информационной безопасности и офисом заместителя генерального директора по ИТ- и информационной безопасности, каждый из которых имел свой бюджет и подрядчиков.

“Аэрофлот” тратит значительные средства на кибербезопасность: в 2024 году они потратили 858,8 миллиона рублей ($10,8 миллиона). Ее крупнейшими подрядчиками являются компании Bastion (сооснованная Борисом Королевым, сыном руководителя службы экономической безопасности ФСБ), Solar (принадлежит Ростелекому), Лаборатория Касперского и BI.ZONE (часть Сбербанка). Bastion, играющая ключевую роль, занималась последствиями начального взлома “Бакка Софт” в январе.

Неясно, изменила ли “Аэрофлот” свою политику кибербезопасности после июльской атаки.