IT-эксперт рассказал, кто мог заказать атаки на авиакомпании РФ: «Устанешь пальцы загибать»

«Возможны перебои в работе сервисов. В связи с этим ожидается вынужденная корректировка в расписании выполняемых рейсов, в том числе путем переноса и отмены», - сообщили компании.

Напомним, что к 10:12 мск было отменено 42 рейса из Москвы и в столицу, включая направления в Екатеринбург, Сочи, Санкт-Петербург, Казань и другие города. Через час список пополнился еще семью рейсами, среди которых — полеты в Калининград, Астану и Красноярск.

Хакерская группировка Silent Crow уже заявила, что сбой стал результатом кибератаки, в ходе которой были уничтожены около 7000 серверов и похищено 22 ТБ данных.

«Нам удалось: получить и выгрузить полный массив баз данных истории перелетов. Скомпрометировать все критические корпоративные системы, получить контроль над персональными компьютерами сотрудников, включая высшее руководство. Скопировать данные с серверов прослушки, включая аудиозаписи телефонных разговоров и перехваченные коммуникации, извлечь данные из систем наблюдения и контроля за персоналом» ,— похвастали хакеры.

Также они предупредили: «В ближайшее время начнется публикация части полученных данных».

Отметим, что Киберпартизаны BY в Беларуси признаны экстремистским сообществом, а Silent Crow ранее заявляли, что взламывали Росреестр.

Минтранс сообщил, что из-за отмены рейсов пострадали около 75 тыс. пассажиров. Московская транспортная прокуратура взяла ситуацию на контроль.

По словам Сергея Малинина, сам факт атаки не удивителен, так как они совершаются постоянно и защититься на сто процентов невозможно.

- А как такое вообще допустили? В чем у авиакомпаний может быть прокол?

- Самые простые вторжения осуществляются с помощью социальной инженерии. То есть, когда на служебную почту присылается письмо, например: «Пароль к вашей почте истекает, нажмите сюда», или письмо в бухгалтерию с темой «Ошибочный платёж» — что-то, что бухгалтер точно откроет. Получатель скачивает вложение с вирусом, запускает его, и злоумышленники получают контроль над системой.

Для самого получателя ничего заметного не происходит. Но в этот момент вредоносный код уже передает управление компьютером внешним злоумышленникам. Они получают доступ не только к этому компьютеру, но и к внутренней сети компании. Дальше — постепенное продвижение по системам, поиск новых уязвимостей и расширение контроля.

Иногда даже не нужна социальная инженерия — хакеры находят уязвимости в самом программном обеспечении (ПО). Они есть всегда, даже если софт сертифицирован.

Полностью избежать уязвимостей невозможно. Если хакерская группа целенаправленно атакует систему, рано или поздно она найдет способ проникнуть. У крупных авиакомпаний наверняка были мощные системы защиты. Но если две опытные хакерские группы объединяются и месяцами готовят атаку — шансов избежать взлома почти нет.

- Хакеры могли использовать что-то новое?

- В глобальном смысле — нет. Но постоянно появляются новые инструменты для взлома. Изучаются корпоративные системы, например, билетные сервисы авиакомпаний, совершенствуются методы социальной инженерии.

Не исключен и внутренний фактор. Например, если кто-то из сотрудников пошел на сговор с хакерами. Это маловероятно, но такой сценарий дает почти неограниченные возможности атакующей стороне.

Лучшая защита — полная изоляция критически важных систем от интернета. Так работает, например, Центробанк: их внутренние сети физически не подключены к внешним сетям. Риск взлома в таком случае снижается на порядки.

В целом грамотная защита строится на трех принципах: базовые технические меры, мониторинг аномальной активности во внутренних сетях и непрерывный процесс просвещения сотрудников компании о том, как не стать жертвой уловок хакеров.

- Хакеров можно найти и арестовать?

- Практически нет. Были единичные случаи, когда на Западе арестовывали «хакеров», но это чаще политические игры. Если группировка действует из враждебной юрисдикции, шансы на их поимку близки к нулю.

- Кто мог быть заказчиком?

- Многие хакеры действуют из идейных соображений — без заказчика. Но учитывая масштаб атаки, а именно год подготовки и участие нескольких известных групп, скорее всего, было стороннее финансирование. Заинтересованных сторон может быть много, устанешь загибать пальцы.

- Сколько это могло стоить?

- Есть два понятия: стоимость исполнения и цена заказчика. Например, хакеры могут провести атаку за $500, но заказчик заплатит $50 тыс.

В России есть легальные «хакерские конкурсы», когда компании платят хакерам за тестовые взломы, чтобы проверить уровень своей кибербезопасности и найти слабые места. За успешную атаку на банк, например, могут заплатить миллион рублей. Предположу, что реальные атаки сложных защищенных структур могут стоить заказчикам и миллионы долларов.

- Компании смогут оправиться от случившейся атаки?

- Главный критерий – насколько быстро компании смогут восстановить свою работоспособность. Важно понимать, что даже если у них есть резервные копии, восстановление может занять много времени, вплоть от полугода.