На 28 юли „Аерофлот“ трябваше да отмени или отложи 42% от полетите си поради мощна кибератака, за която хакерската група „Silent Crow“ и беларуската „Cyberpartisans BY“ поеха отговорност. Най-малко 20 000 души се сблъскаха с проблеми. Експертите оценяват щетите на 10–50 милиона долара. Главната прокуратура потвърди хакването на компютърни системи и образува наказателно дело. Виновна ли е „Аерофлот“? Анализ на Forbes.
Според хакерите, всички критични корпоративни системи на Аерофлот, включително базите данни за история на полетите и CRM, са били компрометирани през предходната година. Според хакерите те са получили достъп до компютрите на служителите, включително на висши мениджъри, както и до аудиозаписи на разговори, системи за наблюдение и вътрешна кореспонденция, и вече са публикували скрийншотове.
Водещият анализатор на отдела за мониторинг на информационната сигурност на Spicatel, Алексей Козлов, заяви пред Forbes, че „според твърдения на групите Silent Crow и Cyberpartisans BY, те са били в ИТ инфраструктурата на Аерофлот около година, като са я компрометирали напълно и са унищожили приблизително 7000 сървъра, включително бази данни, CRM, Exchange и други критични услуги“.
Кои са Silent Crow?
Твърди се, че това е група проукраински хакери-активисти, които за първи път се обявиха на 7 януари 2025 г., публикувайки данни за руски компании. На 9 януари 2025 г. Telegram каналът на групата беше блокиран, което ги накара да се „преместят“ в нов канал, създаден на 28 февруари 2022 г., наречен Cyber Legions. Cyber Legions вече са атакували верига руски аптеки, куриерска служба и IT компания. От създаването си групата е извършила поне осем атаки срещу руски компании в здравеопазването, финансите, IT, телекомуникациите, автомобилната индустрия и публичния сектор.
PayPal:
Revolut:
revolut.me/danibg1912
Александър Ланецки, изпълнителен директор на консултантската компания Friendly Avia Support, предполага, че „Аерофлот има голям проблем и реалният му мащаб ще стане ясен в рамките на следващите два-три дни“. Възниква въпросът защо всичко това е станало възможно, казва той. До 2022 г. Аерофлот беше една от най-модерните компании в света, използваща най-новите западни ИТ технологии, казва експертът, а след началото на руската „специална операция“* в Украйна западни компании обявиха, че спират да обслужват софтуера им. „Задачите по информатизирането на руските авиокомпании бяха прехвърлени на местни фирми, които, доколкото разбирам, са основани от местни мениджъри, дошли от западни страни, и разследването ще покаже колко компетентни са те и колко сигурни са програмите им“, смята Ланецки.
През октомври 2024 г. изпълнителният директор на Аерофлот Сергей Александровски докладва на премиера Михаил Мишустин, че като част от програмата за стратегия за дигитална трансформация на компанията, която започна през 2022 г., делът на разходите за местен софтуер е 33%. „През 2023 г. достигнахме 90%. През 2024 г. ще достигнем 95%“, каза Александровски. „През 2025 г. планираме да завършим дигиталната трансформация и да преминем изцяло към местен софтуер.“
До какво доведе трансформацията? „В момента мога само да кажа, че нищо не е ясно“, каза пред Forbes активен пилот на Аерофлот, пожелал анонимност. „Ръководството бързо организира кризисна работа и подкрепа за екипажите, всички изчисления на полетите се правят с помощта на старата „риба“, характеристиките на излитане и кацане се изчисляват ръчно с помощта на таблици.“ Той казва, че „като цяло всичко се прави без използването на компютърни технологии: когато е възможно, се вземат стари документи и се изчисляват и правят нови на тяхна основа, някои документи се пишат на ръка.“ Според него, „когато дойдеш на работа, ако няма информация, седиш на личния си телефон два часа, след което се обаждаш отново, за да видиш дали има някакви инструкции и може би ще има друг полет или отмяна на полет, или се прибираш вкъщи.“ Според него всички работни групи в месинджъри „бръмчат какво да правят, как да летят, никой не знае дали ще летят вечерта.“
Александър Дмитриев, изпълнителен директор на Neuroinform, смята, че на хакерите е отнела година работа. Според него в такъв случай се извършва разузнаване, извършва се оглед на външния контур, за да се идентифицират интересни активи, които могат да бъдат опитани да бъдат взломени. След това се изучава информация за компанията, включително социални мрежи на служители, технологии, доставчици, информация за използваните системи, след което се идентифицират уязвими точки, продължава той. След хакване на външния периметър се изучава вътрешната инфраструктура, като е необходимо да се скрие от различни системи за откриване, антивируси и други препятствия, казва Дмитриев. „В крайна сметка хакерите е трябвало да копират необходимата информация, без да бъдат хванати“, казва експертът.
Мащабът на бедствието!
Според Хлебунов щетите са трудни за оценка: освен преките загуби поради повреди и възстановяване на инфраструктурата, има и сериозни косвени последици - спад в доверието на клиентите, отказ от услуги, както и възможни държавни санкции и глоби, тъй като Аерофлот е стратегическа държавна компания със съоръжения от критична информационна инфраструктура (КИИ).
Дмитриев смята, че пълното възстановяване от подобна атака може да отнеме около година, тъй като е необходимо не само да се елиминират последствията от нея, но и да се неутрализира заплахата от повторение: за да се направи това, ще е необходимо да се намерят системи за дистанционно администриране, които биха могли да останат вътре в инфраструктурата, а също и да се установи дали нападателите са оставили някакъв „зловреден софтуер“, например, вътре в стационарни IP телефони.
Колко струва хакерството?
Козлов е съгласен с твърдението на хакерите, че възстановяването на инфраструктурата може да струва „десетки милиони долари“. „Като се имат предвид закъсненията на полети, загубата на данни за клиентите, загубата на доверие и глобите, щетите в диапазона от 10 до 50 милиона долара са реалистична груба оценка“, казва той. „Финансовото въздействие на нарушените продажби, разходите за възстановяване, реагирането при инциденти и потенциалното обезщетение на пътниците също биха могли да се натрупат бързо, особено ако са засегнати критичните системи Sabre, Exchange и CRM.“
PayPal:
Revolut:
revolut.me/danibg1912
Няма коментари:
Публикуване на коментар
Забележка: Само членове на този блог могат да публикуват коментари.