Очень большой и качественный post mortem хакерской атаки на Аэрофлот (это который красавчики из Silent Crow и Киберпартизаны.BY сделали)

• Вошли через подрядчика «Бакка Софт». Те как раз выкатили модное и молодёжное PWA приложение для Аэрофлота. Хакеров спалили сразу, но те усыпили бдительность и закрепились внутри. В точности такой же трюк (через подрядчика) использовался при атаке на «Ростелеком».

• У подрядчика был удалёный доступ сеть. В статье пишут что хакеры эскалировали привилегии и дошли до администратора AD в корпоративном домене Аэрофлота. Но вообще- то сами хакеры ранее писали что они заполучили "учётку директора Аэрофлота", и его учётка была "суперадмином", нафига- то.

• В сети хакеры сидели полгода, выполнен этап разведки и сбора данных из корпоративных систем; но факт слива истории перелётов не подтверждён. Снова же, хакеры утверждают обратное. Но надёжных пруфов нет ни для одной версии.

• По расписанию было запущеенно удаление всего на серверах, но от более серьезных последствий Аэрофлот спасло то, что в силу неготовности ИБешников к такому повороту, они тупо отрубили связь и электропитание в офисах. Грубо и некрасиво, но сработало лучше, чем если бы пытались решить проблему без приостановки полётов.

UPD: Канал автора @kolomychenko

UPD: Наверное слив базы "Аэрофлот 2007-2025" можно не ждать ��