🎉 «Ну что? Мы сделали это!»
Так радовался в июне 2025 года у себя в сторис в Telegram Иван Семчук, гендиректор небольшой IT-компании
«Бакка Софт». В этот день «Аэрофлот» официально
представил свое новое веб-приложение — его разработкой занималась компания Семчука. Через месяц похожий восторг, по всей видимости, испытали украинские и белорусские хакеры — они смогли пробраться в инфраструктуру «Аэрофлота», используя «дырявый периметр» этого подрядчика.
Это деталь из моего нового
расследования про летнюю атаку на «Аэрофлот». Напомню, в конце июля «Аэрофлот» почти сутки не летал после совместной атаки Silent Crow и Киберпартизан Беларуси. Отменили и задержали больше сотни рейсов — по официальной версии авиакомпании, из-за «сбоя информационных систем».
🔍 Как продвигались хакеры — ключевые моменты
• Silent Crow начали с подрядчика — той самой «Бакка Софт». Взлом подрядчика обнаружили ещё в январе, но incident response провели плохо, и спустя несколько месяцев хакеры вернулись уже осторожнее. Ранее по аналогичной схеме, через взлом подрядчика, Silent Crow «заходили» в «Ростелеком».
• В «Аэрофлоте» долгое время не было 2FA на терминальных серверах, а у подрядчика был удаленный доступ к инфраструктуре. Хакеры зашли с терминальника, затем «провалились» в Active Directory и смогли получить учетку с высокими привилегиями.
• В итоге, у хакеров была учетная запись администратора в корпоративном домене «Аэрофлота»(!)
• Дальше у них был этап сбора информации из корпоративных систем. Отдельно подчеркну, что ответа на то, действительно ли хакеры смогли достать полный массив баз данных истории перелетов «Аэрофлота» — нет.
• Потом они разлили групповую политику, которая по расписанию запустила wipe на рабочих станциях. После запуска процесса уничтожения данных хакеры убили и сам корпоративный домен.
• Разрушение IT-инфраструктуры «Аэрофлота» началось около 5 утра 28 июля: сотрудники начали писали в чаты, что не работают почта, корпоративный VPN, а рабочие станции уходят в циклическую перезагрузку и др.
• Около 7 утра, после того, как стало понятно, что взломали AD, поступила команда «все вырубаем»: в офисах «Аэрофлота» сначала отключили каналы связи, затем — отрубили электричество и отдали приказ приостановить полеты.
«Команде „Аэрофлота” респект хотя бы за то, что они быстро все рубанули, и в итоге очень большой кусок инфраструктуры смогли спасти», — говорит один из моих собеседников в сфере ИБ.
🧩 Источник, знакомый с материалами расследования кибератаки, говорит, что хакеры использовали около двух десятков образцов вредоносного ПО:
• модифицированные администраторские/диагностические утилиты, которые делают дампы оперативной памяти, что позволяет извлечь пароли, ключи и сеансы;
• самописные модули управления;
• общедоступное ПО и прокси, в частности Ghost Proxy и HAProxy.
Вывод у него примерно такой: «Здесь не было какого-то ноу-хау. Это дело громкое политически, но в техническом плане там ничего необычного».
⚠️ Однако в ходе расследования был обнаружен интересный нарыв. Оказывается, индустрия ИБ в России негодует из-за того, что НКЦКИ ФСБ не делится с отраслью индикаторами компрометации (IoC) по этой и еще ряду крупных кибератак украинских хакеров, что не позволяет другим компаниям учесть ошибки «Аэрофлота» и закрыть те лазейки, которыми воспользовались хакеры.
“Мы IoC’и “Аэрофлота” достали, но из-под полы, по дружбе. В бюллетенях НКЦКИ их не было. По сути, всем остальным дали понять – крутитесь как хотите, теперь ваша очередь тонуть”, – говорит мой собеседник в ИБ-компании.
@kolomychenko
