Cum au acționat hackerii ucraineni, pas cu pas, paralizând gigantul rus Aeroflot. Rusia a pierdut atunci peste 260 mil. ruble
În dimineața zilei de 28 iulie 2025, toate sistemele informatice ale Aeroflot au căzut — de la e-mailul corporativ până la check-in-ul pasagerilor.
Întreruperea a provocat sute de întârzieri și anulări de zboruri, aruncând aeroportul Șeremetioevo din Moscova în haos și afectând zeci de mii de pasageri. Cea mai mare companie aeriană din Rusia a pierdut cel puțin 260 de milioane de ruble (3,3 milioane de dolari) numai din anulări, iar daunele totale sunt estimate la zeci de milioane de dolari. Publicația independentă The Bell a publicat recent o anchetă despre cine și ce a scos din funcțiune sistemele Aeroflot, arată meduza.io.
Întreruperea masivă care a afectat compania aeriană națională a Rusiei în iulie a fost rezultatul unui atac cibernetic. Două grupuri de hackeri activiști – Silent Crow din Ucraina și Cyber Partisans din Belarus – s-au infiltrat în rețeaua Bakka Soft, o mică companie de tehnologie implicată în dezvoltarea aplicațiilor mobile și web ale Aeroflot. De acolo, au obținut acces administrativ la distanță la infrastructura companiei aeriene. La un moment dat, intrușii au declanșat un proces menit să șteargă datele de pe toate stațiile de lucru – aproximativ 10.000 de computere.
Încercarea atacatorilor de a „distruge și șterge domeniul” a avut succes în mare măsură: fără conexiune la domeniul principal al companiei, stațiile de lucru fixe (inclusiv ghișeele de check-in din aeroport) solicitau datele de autentificare ale domeniului la pornire și nu mai funcționau. Toate procesele automatizate ale companiei aeriene au fost blocate.
Pentru a preveni pagube și mai extinse, Aeroflot a întrerupt mai întâi canalele de comunicare externe din birourile sale, apoi a început să oprească alimentarea cu energie electrică a întregilor etaje.
Misterul „zborurilor necomerciale”
Ulterior, hackerii au afirmat că au obținut istoricul complet al zborurilor Aeroflot, au compromis sisteme corporative critice, au preluat controlul asupra stațiilor de lucru ale angajaților — inclusiv ale conducerii superioare — și au descărcat înregistrări ale convorbirilor telefonice, precum și date din sistemele de supraveghere video și de monitorizare a personalului. Au publicat capturi de ecran din rețelele interne, înregistrări audio din conversații interne, documente interne (inclusiv strategia de securitate a informațiilor a Aeroflot) și peste trei gigabytes de date suplimentare — chiar și dosarele medicale ale piloților.
Printre materialele furate, notează The Bell, se aflau fișiere legate de „zborurile necomerciale” ale companiei aeriene, inclusiv un document semnat de un reprezentant al Ministerului Apărării care făcea referire la transportul militar — în ciuda insistenței publice a Aeroflot că este strict un transportator civil, fără niciun rol în război.
Timp de câteva luni după atac, angajații au fost nevoiți să efectueze multe sarcini manual, cum ar fi repartizarea piloților pe zboruri. În teorie, datele puteau fi restaurate din copii de rezervă, dar în practică era adesea neclar care dintre acestea erau sigure de utilizat, deoarece oricare dintre ele putea conține malware plantat de atacatori.
Eforturile de restaurare a sistemelor Aeroflot și de investigare a breșei de securitate au implicat experți din partea mai multor contractori IT ai companiei aeriene, precum și din partea Serviciului Federal de Securitate al Rusiei (FSB), Ministerului de Interne și Comitetului de Investigații. Public, Aeroflot a atribuit întreruperea doar „unei defecțiuni a sistemelor informatice”, iar majoritatea angajaților nu au fost informați niciodată despre ceea ce s-a întâmplat.
Greșeala fundamentală a inginerilor Aeroflot
Potrivit The Bell, mai multe firme importante erau responsabile de securitatea cibernetică a Aeroflot, iar sistemul s-a dovedit a avea un număr mare de vulnerabilități. Unele erau inevitabile, având în vedere amploarea rețelei, dar altele erau rezultatul unor defecte sistemice.
Prezența hackerilor în rețeaua Bakka Soft fusese de fapt detectată în ianuarie 2025, cu șase luni înainte de întreruperea serviciilor Aeroflot. Deși au fost eliminați atunci, compania nu a implementat măsuri de securitate suplimentare, permițându-le să se întoarcă în mai.
Faptul că aparatul de securitate cibernetică al Aeroflot era dezorganizat chiar înainte de incident a facilitat lucrurile pentru atacatori. Responsabilitatea pentru securitatea cibernetică era împărțită între departamentul de securitate informațională și biroul directorului general adjunct pentru IT și securitate informațională, fiecare dintre acestea având propriul buget și proprii contractori.
Aeroflot cheltuiește fonduri semnificative pentru securitatea cibernetică: în 2024, a cheltuit 858,8 milioane de ruble (10,8 milioane de dolari). Cei mai mari contractori ai săi sunt Bastion (cofondat de Boris Korolev, fiul șefului serviciului de securitate economică al FSB), Solar (deținut de Rostelecom), Kaspersky Lab și BI. ZONE (parte a Sber). Bastion, care joacă cel mai important rol, s-a ocupat de consecințele breșei inițiale de securitate a Bakka Soft din ianuarie.
Nu este clar dacă Aeroflot și-a revizuit politicile de securitate cibernetică după atacul din iulie.
Etichete: aeroflot, atac cibernetic, hackeri, ucraineni,
