Эксперты рассказали о хакерских группировках, взломавших «Аэрофлот»

Ответственность за масштабный взлом систем «Аэрофлота», который произошел в понедельник, 28 июля, взяли на себе (по крайней мере публично) две хакерские группировки — «Киберпартизаны BY» и Silent Crow. По их словам, они год находились во внутренних структурах авиакомпании, получили доступ к хранилищам данных и компьютерам сотрудников, включая высшее руководство. Что известно об этих сообществах и почему эксперты советуют не верить их победным реляциям — разбиралась «Парламентская газета».

Взлом Белорусского телевидения и системы ЕМИАС

Одна из групп, «Киберпартизаны BY», известна в публичном пространстве как минимум с сентября 2020 года — по крайней мере тогда же появился ее Telegram-канал. В это время, напомним, в Белоруссии как раз полыхали протесты, связанные с очередными президентскими выборами. Однако, если верить самим «Киберпартизанам», они появились намного раньше. В период протестов, судя по публикациям на канале, группировка взломала сайт Академии МВД РБ, онлайн-вещание Белорусского телевидения, Национальный архив, сайты МАЗа, Белнефтехима и прочих государственных и негосударственных компаний и объединений. А также — объявили о создании и поддержке прокси-серверов, которые давали доступ к Telegram во время его блокировки.

В 2021 году группировка выдвинула ультиматум Следственному комитету Белоруссии — возбудить уголовные дела в отношении работников правоохранительных органов, применявших насилие в отношении протестующих. За невыполнение ультиматума «Киберпартизаны» каждую неделю сливали в открытый доступ личные данные следователей и начальников центрального аппарата СК — включая телефоны, домашние адреса, пароли и так далее, — а также членов их семей. В этом же году зампред СК Белоруссии Анатолий Васильев рассказал местным СМИ о появлении в республике движения «Супраціў» (сопротивление), куда вошли сами «Киберпартизаны», а также похожие объединения — «Дружины Народной Самообороны — ДНС» и «Буслы ляцаць» (Аисты летят). Все они позже были признаны экстремистскими, а само «Супраціў» — и вовсе террористическим.

В 2022 году «Киберпартизаны» вместе с другими группировками переключились на происходящие на Украине события — проведение специальной военной операции. В частности, они предприняли кибератаки на БелЖД, призывали подписчиков делиться фотографиями военной техники, сосредоточенной в приграничных регионах, и организовывали сбор помощи для «Полка имени Кастуся Калиновского» — признанного экстремистским добровольческого военного формирования из Белоруссии, участвующего в боевых действиях на стороне ВСУ.

В отличие от «Киберпартизан» о Silent Crow информации в публичном доступе не так много. Их Telegram-канал появился только в феврале этого года — тогда группировка объявила о взломе Департамента информационных технологий и получении доступа к базе данных о жителях Москвы и Московской области. После этого хакеры выходили в инфополе лишь трижды: в марте, с объявлением о якобы успешно взломе Национальной команды реагирования на киберинциденты Белоруссии, и дважды в июле — с сообщениями о взломах ЕМИАС и атаке на «Аэрофлот».

«Профессиональные хакеры никогда себя не выдают»

Как отметил в разговоре с «Парламентской газетой» технологический предприниматель, генеральный директор АНО «Цифровые платформы» Арсений Щельцин, воспринимать заявления хакеров слишком серьезно не стоит.

«Сегодня абсолютно все крупные компании имеют систему бэкапов — когда все системы копируются в моменте на множество запасных серверов, — пояснил эксперт. — И, скорее всего, речь в заявлении хакеров шла все же об уничтожении так называемых виртуальных машин, которые в корректно работающей инфраструктуре раскатываются обратно по команде, состоящей всего из пяти строк».

По словам Арсения Щельцина, если принять на веру то, что представители группировок, как они сами говорят, находились во внутренних сетях «Аэрофлота» целый год, они вполне могли оставить в резервных системах бэкдоры — искусственные уязвимости, чтобы пользоваться ими и проникать туда снова. Однако это маловероятно.

«Профессиональные хакеры — из тех, кого реально стоит бояться, — никогда не выдают себя, не кричат о том, что к чему-то получили доступ, и тем более ничего не удаляют, — подчеркнул собеседник издания. — Как правило, они имеют каналы сбыта информации — причем не только частным лицам, но и вполне конкретным зарубежным государственным структурам — и заинтересованы в том, чтобы подольше оставаться в системе, возможно, запускать какие-то вредоносные приложения и так далее. Это очень опасно. А тут мы видим скорее манифестацию с не вполне понятными последствиями».

Согласился с этим мнением и председатель Совета Фонда развития цифровой экономики Герман Клименко.

«На мой взгляд, это просто медийная история, — подчеркнул эксперт. — Те же «Киберпартизаны», скорее всего, вообще ничего не умеют и являются лишь своего рода фронтменами, которые принимают заказы и передают их дальше. Реальные хакерские группировки, серьезные, вообще никогда не афишируют ни свою политическую, ни какую-либо иную принадлежность».

По словам Германа Клименко, этот рынок очень жестко сегментирован: на сегодняшний день нет ни одной группировки, которая выполняла бы ту или иную задачу от начала до конца.

«Каждое «вскрытие» какой-то системы можно разделить, думаю, на 10-15 этапов, — пояснил собеседник «Парламентской газеты». — И каждым из них занимается отдельная хакерская группа, о которой мы никогда не слышали и не услышим. У каждой из них есть своя специализация: одни занимаются платежами, другие — поиском необновленных серверов, третьи — социальной инженерией, четвертые — написанием вирусов, и так далее. Поэтому я бы не стал говорить о тех же «Киберпартизанах» как о какой-то реальной силе».

Точно так же скептично Герман Клименко отнесся к сообщениям группировки о том, что они взломали многочисленные белорусские государственные и негосударственные сайты и порталы.

«Когда в свое время грянула история со взломом сайта Республиканской партии США, в гуле сообщений потерялся голос специалистов, которые говорили, что там и взламывать, по сути, было нечего, — напомнил эксперт. — Если честно, там стояли такие системы защиты, что и я смог бы их взломать. И даже вы, если вас снабдить минимальными инструкциями. Поэтому показательные взломы ни о чем не говорят. Та же история и с другой группировкой».

А что с «Аэрофлотом»?

К слову, взлом систем «Аэрофлота» хакеры описывали очень яркими красками. Так, по заявлению Silent Crow, им удалось «получить и выгрузить полный массив баз данных истории перелетов, скомпрометировать все критические корпоративные системы, включая: CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1 °C, DLP и другие, получить контроль над персональными компьютерами сотрудников, включая высшее руководство». Однако сам «Аэрофлот» менее чем спустя сутки после атаки заявил, что работоспособность пострадавших систем удалось полностью восстановить.

«Аэрофлот с 10:00 29 июля выполняет программу полетов в рамках расписания. На сегодняшний день к выполнению планируется 93% рейсов из Москвы и обратно по изначальному расписанию (216 парных рейсов из 233). До 10:00 компания проводила точечные отмены рейсов, далее программа собственных рейсов «Аэрофлота» стабилизировалась, — говорится в официальном сообщении авиакомпании. — За 28 июля авиакомпания выполнила около 80% рейсов из запланированной суточной программы полетов. Корректировки в расписании, включая отмены, в основном затронули рейсы из Москвы и обратно. Региональная часть программы выполнялась в полном объеме».