ЦАРКА: Киберкатастрофа Аэрофлота — сигнал для всего региона

По информации хакеров, к утру было уничтожено более 7 000 серверов и рабочих станций в офисах Шереметьево, Мелькисарово и дата-центрах компании. Стерты внутренние системы и базы данных: CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1 °C, системы безопасности и др. На данный момент Аэрофлот сообщил о возобновлении нормальной работы, а также о том, что планирует выполнить 93% рейсов из Москвы и обратно.

Эксперты ЦАРКА описали ключевые факты взлома:

— В сети использовались Windows XP и Windows Server 2003.
— Пароли сотрудников, включая топ-менеджмент, не менялись годами. По данным хакеров, гендиректор Аэрофлота использовал один пароль с 2022 года.
— Хакеры находились в инфраструктуре более года и выкачали массивы данных: переписка, звонки, история перелетов, архивы.

«Ирония в том, что за месяц до атаки Аэрофлот подписал соглашение о сотрудничестве в сфере кибербезопасности с компанией Bi.Zone (дочка Сбербанка). Документ подписали директор Bi.Zone Дмитрий Самарцев и генеральный директор Аэрофлота Сергей Александровский, тот самый, чей пароль, по информации хакеров, не менялся с 2022 года. На церемонии также присутствовал Герман Греф», — отметили в ЦАРКА.

Один сбой — минус вся инфраструктура

Аэрофлот — объект критической инфраструктуры. Этот кейс показал, что инциденты ИБ способны за считанные часы обрушить бизнес- и гос. процессы.

«В Казахстане аналогичным объектам присваивается статус КВОИКИ, и требования к их защите не должны быть формальностью. Однако практика показывает, что до реальной киберустойчивости многим еще далеко», — говорят в ЦАРКА.

Казахстан: уроки и риски

«В Казахстане вопросы кибербезопасности авиасегмента также поднимаются регулярно. В 2021 году исследователь через багбаунти-платформу выявил критическую уязвимость в почтовой системе столичного аэропорта, которая потенциально давала доступ к внутренним сервисам. Инцидент удалось предотвратить, но он наглядно показал, насколько тонка грань между безопасностью и катастрофой. ИБ-сообщество Казахстана знает кейсы, когда злоумышленники зашифровывали системы акиматов, университетов, нефтехимических предприятий и нацхолдингов. Отдельная угроза — это целевые атаки (APT), которые могут годами находиться в инфраструктуре объектов КВОИКИ, оставаясь незамеченными. Такие группы не просто крадут данные, а закладывают механизмы для будущих атак. Отсутствие катастрофичных инцидентов в Казахстане не означает, что их не может произойти — это лишь сигнал, что закладки пока не были активированы. Этот фактор должен стать триггером для постоянного мониторинга, threat hunting и проверки инфраструктуры на признаки скрытого присутствия», — говорят эксперты.

По их словам, у КВОИКИ должны быть отработанные сценарии восстановления, включая изолированные резервные копии. Без них любая атака превращается в конец инфраструктуры, а не просто в инцидент. В Казахстане требования к бэкапам есть, но на практике они часто не работают.

Внедрение 2FA в корпоративном сегменте — не опция, а обязательный стандарт. Один пароль — это вчерашний день: фишинг, утечки и перебор учетных данных делают его уязвимым. В Казахстане лишь единицы КВОИКИ используют 2FA внутри корпоративного сегмента. Чаще защищают внешний периметр, забывая, что взлом одной учетной записи внутри сети открывает путь ко всей инфраструктуре.

Важно также проводить регулярное обновление систем. Windows XP в 2025 году — это не анахронизм, а открытая дверь для кибератак. Microsoft прекратила поддержку XP в 2014 году, и любая уязвимость в этой системе навсегда остается «дырой». В Казахстане XP до сих пор встречается на рабочих станциях и даже серверах промышленных объектов. Это критический риск для национальной безопасности, уверены эксперты.

«Кибербезопасность — это не бумага. Ни одна технология не спасет, если нет дисциплины, контроля и постоянной работы по улучшению защиты. Реальные действия — это обновления, 2FA, изолированные бэкапы, обучение сотрудников и проверка планов восстановления. Инцидент с Аэрофлотом ясно показал: в мире нет защищенных систем. Есть только те, кто готов к атаке. И те, кто просто надеется, что она не случится», — заявили представители ЦАРКА.

Напомним — 14 ноября в Алматы пройдет конференция PROFIT Security Day, посвященная информационной безопасности для бизнеса.