В этом выпуске ведущие обсудили отмену около 60 рейсов «Аэрофлота» на фоне хакерской атаки, осуществленной «Киберпартизанами» и Silent Crow. По заявлениям хакеров, они уничтожили IT-инфраструктуру компании «Аэрофлот». По их словам, они проводили операцию на протяжении года. За это время проникли в корпоративную сеть, смогли получить доступ к массиву данных, истории перелетов, системам контроля над персоналом, к записям телефонных разговоров якобы внутри компании. Также утверждают, что им удалось уничтожить около 7000 физических серверов и виртуальных.
В «Аэрофлоте» подтвердили причину сбоя в информационной системе. Авиакомпания просит пассажиров отмененных рейсов покинуть аэропорт. Но сделать это непросто. Сообщается, что на выходе возникали заторы в определенный момент, потому что обменять билеты или вернуть деньги можно только через колл-центр.
«Как можно было взломать 7000 физических серверов?» — поинтересовался Алексей Гудошников.
Эксперт Сергей Вакулин назвал два сценария, по которым мог произойти взлом. По первой версии, могли использоваться фишинговые ссылки.
«Вообще любое устройство, которое у нас подключается к глобальной сети Интернет, оно уже по собственной структуре является уязвимым устройством, и к нему можно получить удаленный доступ. Что, соответственно, хакеры и сделали. Я могу предположить две версии, как это было сделано. Первая — фишинг. Возможно, некий сотрудник недоглядел и кликнул, заполнил данные — и эти данные передал агенту», — пояснил Вакулин.
Второй возможной версией эксперт назвал подключение через удаленный доступ и действия от имени сотрудников.
«Второй момент — это уязвимость. Каждое устройство, которое подключено к сети Интернет, оно автоматически становится уязвимым, хотя бы на долю процента. Они сообщали в своем телеграм-канале, что находятся в этой системе целый год. И они рассказывали, что проделывали путь по внедрению в сетевую инфраструктуру. Грубо говоря, они захватили доступ обычного пользователя и в дальнейшем атаку развивали вплоть до админа, захватывая все дальше. Могли действовать от его имени, возможно, так», — продолжил эксперт.
Вакулин отметил, что после атаки систему не получится восстановить за один день. Он считает, что в первую очередь необходимо уделить внимание технической части, то есть «Аэрофлот» должен наладить контакт с инфраструктурой касаемо пассажиров, чтобы все работало.
Ведущий указал, что, по оценкам аналитиков, восстановление может занять до полугода. «И что, полгода не будет “Аэрофлот” летать?» — уточнил Алексей Гудошников.
Вакулин считает, что в реальности ситуация более оптимистична. Он назвал условие, при котором восстановление займет 2−3 дня.
«Полгода имеется в виду, если нет бэкапа, то есть резервной копии. Если бэкап у них хранится, который не подключен был к Интернету, то восстановление займет 2−3 дня. Поскольку массив данных очень огромен, это около 20 терабайт. Если бэкапа нет, то действительно до полугода это все займет. Есть критерии — та техническая часть, когда вы сможете покупать билеты. Сейчас я не могу спрогнозировать», — пояснил он.
Эксперт не исключает, что во время атаки могла произойти утечка данных.
«Как писали в СМИ, прокуратура все-таки подтвердила взлом и возбудили уголовное дело по ст. 272 УК РФ. Значит, имеются предположения, что базу данных действительно могли украсть. Это дата рождения, имя, фамилия, паспорт, все данные, которые вы отдавали “Аэрофлоту”», — добавил Вакулин в эфире шоу «Центральный канал» на платформе VK.
