С начала войны число атак украинских и белорусских хакеров на крупные российские компании выросло кратно, но не всегда о них становится широко известно. Атаку на «Аэрофлот» в июле 2025 года скрыть было невозможно: сотни отмененных и задержанных рейсов, толпы в аэропортах и погрузившиеся во тьму офисы крупнейшей в стране авиакомпании. Но о том, что это была хакерская атака, «Аэрофлот» не сообщил даже собственным сотрудникам. О результатах расследования инцидента тоже ничего не известно. Спецкорреспондент The Bell Мария Коломыченко выяснила, откуда готовилось нападение на «Аэрофлот», как хакеры чуть не убили его инфраструктуру, и почему, несмотря на то что авиакомпанию защищали сразу три крупнейших подрядчика, ее система безопасности все равно оказалась дырявой.

В пять часов утра 28 июля в чатах техподдержки «Аэрофлота» дежурные начали докладывать о ЧП: системы лежат, компьютеры уходят в перезагрузку и не восстанавливаются. Через час к ситуации подключился кто-то из руководства. «Самолеты летают?» — спросили дежурных. Самолеты еще летали, но после семи во всей компании уже царила ощутимая паника, вспоминает один из источников, с которыми для этого текста пообщался The Bell. Когда стало понятно, что хакеры в режиме реального времени стирают содержимое рабочих компьютеров сотрудников «Аэрофлота», поступила команда «вырубать все», и электрики забегали, отключая электричество целыми этажами. Как выяснил The Bell, «вырубить все» было единственным способом остановить уничтожение всей сетевой инфраструктуры крупнейшей авиакомпании в стране, к которому тем утром приступили хакеры.

Атака на «Аэрофлот» стала самым масштабным киберинцидентом в России с начала войны. Ответственность за нее взяли на себя хакеры из украинской группировки Silent Crow и белорусские «Киберпартизаны». Им удалось на время парализовать работу авиакомпании, заставить десятки тысяч пассажиров маяться в аэропортах, а сотрудников «Аэрофлота» — перейти на отправку рейсов в ручном режиме. Несмотря на масштаб бедствия, авиакомпания скромно назвала атаку «сбоем в работе информационных систем». МВД совместно с ФСБ до сих пор расследуют этот сбой, но никакой официальной информации об инциденте нет.

День X

«Как для айтишников выглядит киберинцидент, особенно связанный с уничтожением инфраструктуры? Узлы [по сути все устройства, подключенные к сети. — The Bell] начинают отваливаться. У тебя есть карта сети, и ты видишь, как на ней куски инфраструктуры просто гаснут. Примерно в 4:30 утра в тот день в „Аэрофлоте“ все стало гаснуть», — рассказывает собеседник The Bell, знакомый с деталями расследования атаки.

В рабочие чаты тут же посыпались сообщения сотрудников: пропала связь с корпоративным доменом, рабочие компьютеры и терминалы на стойках регистрации принудительно перезагружаются и выходят из строя, отсутствует доступ к почте, к корпоративным Skype for Business и VPN. «Легли» несколько важных IT-систем, включая управление предприятием SAP ERP, корпоративную систему документооборота КАСУД и систему управления IT-службой Inspark SM.

«У нас был доступ администратора ко всей корпоративной сети „Аэрофлота“», — утверждает представитель группировки «Киберпартизаны Беларуси», которая в день атаки взяла на себя ответственность за нее. Это подтвердили два собеседника The Bell, знакомые с деталями расследования хакерской атаки, а также источник в самом «Аэрофлоте».

Получив доступ администратора, хакеры «разлили» через корпоративную сеть авиакомпании групповую политику, которая по расписанию запустила процедуру стирания данных на рабочих станциях. «Затем они попытались убить и затереть домен, и это им удалось. А если нет связи с корпоративным доменом, не работает ничего, — объясняет сотрудник „Аэрофлота“. — Компания в большинстве своем использует стационарные компьютеры, даже на стойках регистрации и посадки пассажиров. И при загрузке они требуют логин и пароль от учетной записи в корпоративном домене. Невозможность подключиться к домену превращает рабочую машину в кирпич».

Чтобы остановить продвижение хакеров и разрушение IT-инфраструктуры, в офисах «Аэрофлота» сначала отключили каналы связи, а затем — электричество. «Команде „Аэрофлота“ респект хотя бы за то, что они быстро все рубанули, и в итоге очень большой кусок инфраструктуры смогли спасти, — рассказывает собеседник The Bell, знакомый с ходом расследования. — Они отрубили ростелекомовские каналы связи, оторвали связь до билетной базы, оторвали связь с Шереметьево, поэтому там люди сидели реально в Excel все пересобирали и на большом листке перерисовывали все маршруты самолетов. Это, безусловно, нанесло репутационный ущерб. Но если бы они это не сделали так быстро, там могло вообще ничего от инфраструктуры не остаться».

Около восьми утра пресс-служба «Аэрофлота» в телеграм-канале авиакомпании сообщила о «сбое в работе информационных систем» и предупредила об ожидаемых «корректировках в расписании». «Просим пассажиров следить за информацией на онлайн-табло сайтов аэропортов по всей маршрутной сети авиакомпании», — было сказано там же.

В день атаки компания отменила 108 рейсов, и больше 80 было задержано только в одном Шереметьево, базовом аэропорту «Аэрофлота». В нем не рассасывались огромные очереди, пассажиры не могли улететь, переоформить билеты и вернуть деньги. Ущерб «Аэрофлота» только от отмены рейсов из-за атаки оценивался не менее чем в 260 млн рублей, а общий — в десятки миллионов долларов.

Причину «сбоя» авиакомпания не раскрыла. За нее это сделали украинские и белорусские хакеры из группировок Silent Crow и «Киберпартизаны Беларуси», которые в день атаки опубликовали сообщения о совместном «киберударе» по «Аэрофлоту».

Silent Crow заявила, что нападавшим удалось выгрузить полный массив баз данных истории перелетов «Аэрофлота», скомпрометировать критические корпоративные системы, получить контроль над персональными компьютерами сотрудников, в том числе высшего руководства, скопировать хранившиеся на корпоративном сервере записи телефонных разговоров, а также извлечь данные из систем наблюдения и контроля за персоналом.

В подтверждение своих слов хакерские группировки опубликовали, как утверждалось, скриншоты из внутренней сети «Аэрофлота», аудиозаписи нескольких телефонных разговоров между сотрудниками авиакомпании, несколько внутренних документов, включая «Стратегию обеспечения информационной безопасности ПАО „Аэрофлот“», отрывок с данными о перелетах гендиректора «Аэрофлота» Сергея Александровского, а также выложили в сети TOR архив на 3,7 ГБ с данными из медицинских карт пилотов и других сотрудников авиакомпании.

Среди наиболее чувствительных данных, которые могли быть украдены, собеседники The Bell называют сведения о «некоммерческих рейсах авиакомпании». После атаки хакеры выложили документ за подписью представителя Минобороны, в котором ведомство просит подключить свою технику к внутренней сети «Аэрофлота» для «эффективного планирования воинских воздушных перевозок». «Для „Аэрофлота“ это был удар под дых. Компания позиционирует себя исключительно как гражданского авиаперевозчика и все последние годы старательно дистанцируется от войны, а тут все черным по белому», — замечает собеседник в «Аэрофлоте».

Сотрудникам «Аэрофлота» ни в день атаки, ни после не сообщали о произошедшем больше того, что было в СМИ. Линейные руководители только информировали работников, надо ли им выходить на работу, и если да — чем именно заниматься, рассказывают двое собеседников в авиакомпании.

«Вообще всем сотрудникам каждое утро из года в год приходило письмо под названием „Доброе утро, ‚Аэрофлот‘!“ — такое мотивирующее, типа, мы вот пятилетку за три года, и с января перевезли столько-то миллионов пассажиров, — рассказывает один из работников компании. — В день атаки письма, конечно, не было — так как хакеры почту положили, а когда ее восстановили, следующее пришло как ни в чем ни бывало, и в нем ни слова о произошедшем».

Спасали «всем миром»

Через несколько часов после начала атаки в штаб-квартиру «Аэрофлота» — два здания в виде гигантских стеклянных крыльев в деревне Мелькисарово рядом с Шереметьево — съехались сотрудники правоохранительных органов и специалисты по расследованию инцидентов в сфере информационной безопасности. «Приехали всем миром спасать, потому что инфраструктура здоровенная. Там были и „Лаборатория Касперского“, и „Бастион“, и „Солар“, и BI.ZONE. Органов тоже целый кагал — НКЦКИ [Национальный координационный центр по компьютерным инцидентам], ЦИБ [Центр информационной безопасности] ФСБ, тут же МВД, Следственный комитет», — перечисляет собеседник The Bell, знакомый с деталями расследования. Сотрудники авиакомпании и приехавшая «команда спасения» работали над возобновлением полетов, восстановлением инфраструктуры и расследованием инцидента.

«В первую очередь, конечно, восстановили видимость нормальной работы — регистрацию пассажиров и все в этом духе. Надо было показать, что все нормально — билеты не про…ны, все работает», — говорит собеседник The Bell. Данные по пассажирам хранятся не только на серверах «Аэрофлота», но и в «Сирене-Трэвел» — отечественной системе бронирования, на которую перешли после начала войны российские авиакомпании. «Когда поняли, что рабочие станции мертвы, стали с ноутбуков, которые работают вне корпоративного домена, подключаться к „Сирене“ и так пытаться отправлять рейсы, чтобы вообще все авиасообщение не встало», — объясняет он.

О восстановлении авиасообщения «Аэрофлот» заявил уже на следующий день после атаки. Но за видимостью нормальной работы ручное управление продолжалось еще несколько месяцев. «Запустились они тогда, скорее, с толкача, передав значительный кусок своего сервиса в аэропорты. И потом еще долго каждому пилоту отдельно присылали данные о том, куда он летит, — расписание на месяц, как было раньше, отсутствовало. Топливо высчитывали вручную и наливали с запасом», — рассказывает собеседник The Bell, знакомый с деталями расследования.

Второй важнейшей задачей было восстановить корпоративный домен. Это тоже удалось сделать из резервной копии на второй день, говорит сотрудник «Аэрофлота». Действовать пришлось осторожно: «Нюанс был в том, что было непонятно, из какой копии восстанавливать. Например, поставишь пятничную версию, а там, может, уже была вся эта зараза. Хакеры же запустили абсолютно легитимный скрипт из-под учетки администратора, условно, „завтра в такое-то время запустить удаление всех файлов“», — рассказывает он. ПО для управления предприятием SAP ERP, система документооборота КАСУД и ряд других программ тоже были постепенно восстановлены из резервных копий. А одним из самых трудоемких процессов оказалось восстановление рабочих станций — в каждой поэтапно физически меняли пораженный диск, ставили новый, потом «накатывали» на него чистую операционную систему.

Место, откуда готовилось нападение

«Ну что? Мы сделали это!» — написал в июне 2025 года в сторис своего аккаунта в Telegram сооснователь и гендиректор компании «Бакка Софт» Иван Семчук, запостив анонс нового веб-приложения «Аэрофлота» для iOS.

Московская фирма «Бакка Софт» занимается разработкой мобильных и веб-приложений. На рынке эта небольшая компания не слишком известна, но у нее примечательные заказчики. В их числе — Совет Федерации. С 2012 года юрлица этой фирмы, по данным СПАРК, выиграли 33 тендера Совфеда на сумму 33 млн рублей. По данным самой «Бакка Софт», она также делала проекты для «Норильского никеля», ЕВРАЗа, X5 и других крупных российских компаний.

Ряд проектов «Бакка Софт» выполнила и для «Аэрофлота», утверждают двое собеседников The Bell, знакомых с деталями расследования атаки на авиакомпанию. Информация о большинстве тендеров «Аэрофлота» после 2022 года была закрыта, а по тем тендерам, что есть в открытом доступе, не указаны победители, поэтому данные о закупках, выигранных «Бакка Софт», недоступны. Но то, что компания действительно работала над приложением «Аэрофлота», указано и в портфолио одного из ее разработчиков.

В январе 2025 года, за полгода до большой атаки на «Аэрофлот», специалисты по информационной безопасности, обслуживающие авиакомпанию, зафиксировали в ее сети и в сетях ее подрядчика, той самой «Бакка Софт», подозрительную активность. Об этом The Bell рассказали два собеседника, знакомых с ходом расследования.

«Ребята из „Солара“, у которых на мониторинге была часть инфраструктуры „Аэрофлота“, обнаружили хакерские утилиты, характерные для атак с украинским следом, — говорит один из них. — Хакеры нашли небольшую IT-компанию — „Бакка Софт“, которая оказывала услуги „Аэрофлоту“, взломали ее и дальше стали пробираться в инфраструктуру авиакомпании». Сама «Бакка Софт» о взломе своей инфраструктуры публично никогда не сообщала (и на запросы The Bell не ответила).

Реагированием на обнаруженный в январе инцидент занимался не «Солар», а другой подрядчик «Аэрофлота» по информационной безопасности — компания «Бастион», созданная сыном начальника службы экономической безопасности ФСБ Сергея Королева Борисом, утверждают двое собеседников The Bell. «Incident response был задачей „Бастиона“ — ну, там согласно контрактам вот так распределены роли между ИБ-подрядчиками», — говорит один из них. По его словам, злоумышленников тогда «выбили» из сети «Аэрофлота», но, вероятно, «не дочистили» инфраструктуру «Бакка Софт». 

«Вообще подрядчики в таких историях — обычно слабое звено: они плохо идут на контакт, брыкаются, не пускают к себе в „инфру“ и работу по вычистке у себя инфраструктуры делают очень фигово. Ребята потом смотрели через Shodan’ы и всякие прочие инструменты, что у них там [в „Бакка Софт“] с периметром, что с сетью вообще — ну, и она дырявая насквозь до сих пор. Гуляй не хочу», — возмущается собеседник The Bell, знакомый с деталями расследования хакерской атаки на «Аэрофлот». Shodan — это поисковая система по интернет-устройствам и публичным сервисам. Исследователи в сфере ИБ используют ее для анализа открытой инфраструктуры и выявления того, какие технологии, сервисы и потенциальные уязвимости доступны в интернете.

После обнаружения взлома «Бакка Софт» в январе каких-то существенных мер усиления безопасности по работе с подрядчиком «Аэрофлот», по словам собеседников The Bell, не принял. По их данным, хакерские группировки возобновили наступление через эту же компанию в мае и к лету уже имели устойчивое присутствие в инфраструктуре авиакомпании.

«То, что было постфактум обнаружено в активной фазе в июле–августе — это четко те же самые индикаторы компрометации, те же самые группировки, — рассказывает один из собеседников The Bell. — На втором этапе хакеры шли уже очень медленно и очень аккуратно, но что в январе, что в июле использовались те же самые учетки и те же самые виртуалки».

Представитель «Киберпартизанов Беларуси» Юлиана Шеметовец в комментарии для The Bell не стала раскрывать детали операции, но отметила: «Сеть у „Аэрофлота“ очень большая — под 10 тысяч машин — и такие крупные сети очень сложно защищать». Кроме того, руководство авиакомпании, по ее словам, использовало несложные пароли.

Война кошек с собаками

Система защиты «Аэрофлота» на момент атаки представляла собой конгломерат из подрядчиков и пересекающихся зон влияния. После того как Виталий Савельев, возглавлявший «Аэрофлот» в 2009–2020 годах, переехал в правительство, поменялись и кадры внутри, и экосистема подрядчиков по информационной безопасности, рассказывает один из собеседников The Bell.

С 2020 года в «Аэрофлоте» трижды меняли директора департамента информационной безопасности, утверждают источники The Bell. На момент атаки им был (и по-прежнему остается) Александр Юфаркин, который уже работал в «Аэрофлоте» в нулевых, а после много лет возглавлял отдел информационной безопасности в грузовой авиакомпании AirBridgeCargo. Кроме него, за безопасность в «Аэрофлоте» отвечает заместитель гендиректора по ИТ и ИБ Антон Мацкевич.

«Там классическая война кошек с собаками, — рассказывает собеседник, информированный о деталях расследования хакерской атаки. — Юфаркин — под службой безопасности, у них своя вертикаль, а у Мацкевича — своя. Отдельные бюджеты, разные подрядчики, каждый тянет одеяло на себя. Поэтому взаимодействие ИТ и ИБ там было ужасное. Тема не поделена, и нет какого-то одного человека внутри компании, который бы брал на себя всю полноту власти и ответственности за информационную безопасность». Подрядчиков в сфере ИБ у авиакомпании, по словам собеседника The Bell, тоже было несколько.

Только за 2024 год «Аэрофлот» вложил в обеспечение цифровой безопасности 858,8 млн рублей, указано в его отчете об устойчивом развитии. Собеседники The Bell на рынке ИБ говорят, что подряд «Аэрофлота» на предоставление услуг по информационной безопасности — это «минимум сотня, а чаще сотни миллионов рублей в год». И после ухода из компании Савельева за эти подряды развернулась серьезная борьба.

«У Савельева были дружеские отношения с Германом Грефом, поэтому при нем основную часть услуг по ИБ „Аэрофлот“ закупал у [принадлежащего „Сберу“] BI.ZONE. Но, когда руководство сменилось, система под генеральным поменялась — там появилось пространство для возможностей», — утверждает источник The Bell в одной из ИБ-компаний.

BI.ZONE по-прежнему участвует в тендерах «Аэрофлота» и оказывает отдельные сервисные услуги, но основными поставщиками услуг по кибербезопасности для «Аэрофлота» на момент атаки стали входящий в «ИКС Холдинг», созданный Антоном Черепенниковым, «Бастион» и принадлежащая государственному «Ростелекому» компания «Солар». Причем доля «Бастиона» — существенно больше, утверждают двое источников The Bell из сферы информационной безопасности и подтверждает сотрудник самой авиакомпании. «„Аэрофлот“ сталкивал подрядчиков в тендерах лбами и сильно опускал их по цене, — рассказывает один из них. — В итоге каждая ИБ-компания отхватила свой кусок, но самым борзым был „Бастион“ — они заходили сверху, напрямую к СЕО, чуть ли не с ноги дверь открывали».

В июне 2023-го «Аэрофлот» публично подписал торжественное соглашение о сотрудничестве в сфере ИБ с «Ростелекомом», а в 2025-м — с «Бастионом» и BI.ZONE. «На самом деле сотрудничество на тот момент уже шло годами, но надо же на форумах что-то подписывать», — объясняет один из собеседников.

Сразу после инцидента пресс-служба «Бастиона» сообщила агентству ТАСС, что компания «активно содействует перевозчику в изучении причин „июльского инцидента“», но от самой истории с хакерской атакой подрядчик постарался дистанцироваться. В частности, представитель «Бастиона» подчеркнул, что первый совместный проект компании в рамках соглашения с «Аэрофлотом» будет реализован только в 2026 году (из этой формулировки, впрочем, напрямую не следует, что подрядчик не работал с авиакомпанией до подписания соглашения о сотрудничестве в июне 2025 года).

Другие вендоры, в частности «Лаборатория Касперского», чьи софтверные продукты, по словам нескольких собеседников The Bell, очень любят в «Аэрофлоте», после ухода Савельева тоже начали работать под началом «Бастиона».

«Солар», в свою очередь, поставил в «Аэрофлот» систему защиты от утечек Solar DOZOR, а также обеспечивал мониторинг безопасности части инфраструктуры. «Тендером на мониторинг, который выиграл „Солар“, предполагается объем событий 8000 EPS — то есть система могла обрабатывать лишь 8000 событий безопасности в секунду. Это позволило покрыть мониторингом примерно 3% инфраструктуры, — рассказывает один из собеседников The Bell. — В общем, „Аэрофлот“ сильно сэкономил. Все равно что в огромном загородном доме поставить сигнализацию только на входную дверь».

На запросы The Bell все перечисленные в тексте подрядчики не ответили.

Теперь ваша очередь тонуть

Расследование атаки на месте растянулось на несколько недель — в офисах «Аэрофлота» ежедневно работали специалисты по расследованию киберинцидентов всех подрядчиков компании. По итогам этой работы был составлен технический отчет, который представили руководству «Аэрофлота». Источник, знакомый с материалами этого расследования, так описывает причины инцидента и путь хакеров к цели:

«В „Аэрофлоте“, к сожалению, очень долгое время не было двухфакторной аутентификации на терминальных серверах. А у подрядчика, которого они взломали, был удаленный доступ к инфраструктуре. В итоге с этого сервера хакеры „провалились“ на AD (Active Directory — служба каталогов от Microsoft, которая позволяет централизованно управлять всеми пользователями, компьютерами и сетевыми ресурсами в корпоративной сети), затем получили учетную запись с высокими привилегиями и продолжили работать».

По словам собеседника The Bell, хакеры действовали осторожно и поначалу сознательно избегали тех узлов, где их могли заметить: домена, почтового и антивирусного серверов, то есть всех систем, которые активно мониторили специалисты по ИБ. «Они много собирали сетевого доступа, много прикладных узлов сети — и вот по ним, собственно, двигались. Двигались большей частью через учетные записи, но и уязвимостей там хватало. Да и история про пароль высокопоставленного руководителя, к сожалению, не шутка», — говорит источник, знакомый с материалами расследования.

После атаки «Киберпартизаны Беларуси» утверждали, что успешное проникновение стало во многом возможно благодаря тому, что некоторые сотрудники авиакомпании пренебрегали «элементарной безопасностью паролей» и, в частности, заявляли, что гендиректор «Аэрофлота» Сергей Александровский не менял пароль с 2022 года.

Согласно политике безопасности, действовавшей в «Аэрофлоте» на момент атаки, сотрудники должны были менять пароль каждые три месяца: по истечении этого срока система при входе требовала обновить пароль и не пускала пользователя, пока он этого не сделает. «Поскольку он все-таки гендиректор, то тут, судя по всему, сняли это правило, потому что не царское это дело», — говорит сотрудник «Аэрофлота».

Экземпляры вредоносного ПО, которые использовали хакеры, были уникальны, хотя сам по себе код не являлся каким-то новаторским, говорит The Bell источник, знакомый с материалами расследования. «Здесь не было какого-то ноу-хау. Это дело громкое политически, но в техническом плане там ничего необычного», — отмечает он. «В сумме это типичный набор для сложных атак: легальные утилиты и открытые прокси используются вместе с кастомными модулями, чтобы закрепиться, собирать данные и скрывать присутствие», — отмечает другой собеседник The Bell на рынке ИБ.

При этом хакеры, по словам собеседников The Bell в «Аэрофлоте» и источников, знакомых с материалами расследования, местами преувеличили свои успехи. «То, что они писали по поводу жутко устаревшего софта у „Аэрофлота“, Windows XP на компах, — это все-таки преувеличение. Да, какие-то древние узлы там могут присутствовать — это стандартная история для крупных транспортных, промышленных, нефтегазовых компаний. Но в целом „Аэрофлот“ — достаточно современная цифровая компания. Нет такого, что они живут в куче древностей», — говорит собеседник The Bell.

«Киберпартизаны» утверждали, что ими были уничтожены свыше семи тысяч серверов и рабочих станций в офисах Шереметьево, Мелькисарово и соответствующих дата-центрах. «Примерно в пять раз они преувеличили размах. Но это для хактивистов не редкость — им все-таки надо себя пиарить», — говорит один из источников The Bell.

Один из важнейших вопросов — действительно ли хакеры смогли выгрузить полный массив баз данных истории перелетов — остается открытым. «Они так и не выложили его нигде. А тот скрин с перелетами гендиректора „Аэрофлота“, мягко скажу, выглядит не слишком правдоподобно», — говорит собеседник, знакомый с материалами расследования. Роскомнадзор вскоре после атаки утверждал, что не выявил утечки данных из «Аэрофлота». «Киберпартизаны Беларуси» отказались предоставить The Bell доступ к каким-либо дополнительным данным, полученным в ходе атаки, сообщив, что планируют использовать их «для вычисления агентуры ФСБ/КГБ». «Будем публиковать данные в дальнейшем, когда найдем что-то полезное для общественности», — сообщили они.

Сразу после кибератаки Генпрокуратура заявила о возбуждении уголовного дела о неправомерном доступе к компьютерной информации (ч. 4 ст. 272 УК РФ). Параллельно, утверждают двое собеседников The Bell, правоохранительные органы ведут проверку по факту халатности (ст. 293 УК РФ). Расследование ведет Управление на транспорте МВД, а техническое заключение об атаке готовит ФСБ. За прошедшие месяцы на допрос в МВД вызывали директора департамента информационной безопасности «Аэрофлота» Александра Юфаркина, топ-менеджеров «Бастиона», «Солара» и других подрядчиков, рассказали два источника The Bell на рынке кибербезопасности.

«История приняла очень понятный оборот — она стала уголовным делом. Первая задача там, конечно, разобраться — кто ломал, откуда ломал. Но по этой статье никого не накажешь — что они, партизан этих будут искать?» — рассуждает один из собеседников The Bell. Зато, по его словам, четко стоит задача — «разобраться в том, а кто тот придурок, из-за кого это все произошло?». И оба ведомства все еще пытаются установить, кто виноват: «Скорее всего, какие-то решения на этот счет будут приниматься после получения технического заключения от ФСБ. От них ждут финальную печать: кто там врет, кто правду рассказывает и кто должен был спасти мир в красном плаще», — говорит собеседник The Bell.

«Аэрофлот» является субъектом критической информационной инфраструктуры и обязан передавать информацию о компьютерных инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак, которой управляет центр по компьютерным инцидентам ФСБ. Пропуск кибератаки на таком субъекте может стать поводом для возбуждения уголовного дела по ч. 3–5 ст. 274.1 УК РФ («Неправомерное воздействие на КИИ») в отношении ответственных лиц. Максимальное наказание по этой статье составляет до шести лет лишения свободы.

«Насколько я понимаю, решили не жестить — формально там не нашли оснований для 274.1 УК РФ, так как конкретно взломанные элементы инфраструктуры не относятся к критическим. Статья 293 — более щадящая, по ней грозит максимум арест на полгода. В общем, консенсус такой — кого-то наказать надо, но без перегибов», — говорит собеседник The Bell.

Пока правоохранительные органы ведут расследование, ФСБ не делится технической информацией об атаке — хотя она была бы полезна другим российским предприятиям для защиты от украинских хакерских группировок, отмечают сразу несколько специалистов из компаний по кибербезопасности.

«В марте украинские хакеры взломали инфраструктуру Московского метрополитена. Но в метро публично заявили, что это просто сбой — о взломе никто так и не сказал. Бюллетень с индикаторами компрометации ФСБ не рассылала. С „Аэрофлотом“ сейчас такая же история. И вот таких атак, о которых молчат, — тысячи», — утверждает один из ИБ-специалистов. Индикаторы компрометации (IoC) — это технические признаки, по которым можно определить, что систему взломали или пытались атаковать. «Мы IoC „Аэрофлота“ достали, но из-под полы, по дружбе. Всем остальным, по сути, дали понять — крутитесь как хотите, теперь ваша очередь тонуть», — пожимает плечами собеседник в другой ИБ-компании.