В Генпрокуратуре подтвердили хакерскую атаку на IT-инфраструктуры авиакомпании. Отменены десятки рейсов.
Сегодня утром в работе «Аэрофлота» произошёл масштабный сбой. В компании сообщили, что проблемы возникли в информационной системе. На данный момент известно про отмену 49 пар рейсов между Москвой и Минском Ереваном, Астаной, Санкт-Петербургом, Сочи, Казанью и другими городами. По словам очевидцев, в столичных аэропортах царит хаос.
О причине неполадок в «Аэрофлоте» не сообщили, однако позднее ответственность за нарушение авиасообщения взяли на себя украинская и белорусская хакерские группировки (Silent Crow и «Киберпартизаны BY»). Они рассказали, что на протяжении года внедрялись в корпоративную сеть авиакомпании и смогли похитить массив данных в 20 ТБ, где в том числе содержится вся информация о пассажирах авиакомпании. По их словам, им удалось уничтожить более 7000 физических и виртуальных серверов «Аэрофлота», а на восстановление инфраструктуры уйдут длительное время и десятки миллионов долларов. Свою операцию хакеры назвали «прямым посланием ФСБ, НКЦКИ, RT-Solar и другим так называемым "киберзащитникам"», добавив, что «цифровая безопасность в России – ничтожна».
В Генпрокуратуре подтвердили информацию о том, что причиной сбоя в работе «Аэрофлота» стала хакерская атака. По материалам прокурорской проверки возбуждено дело о неправомерном доступе к компьютерной информации (ч.4 статьи 272 УК РФ).
Тем временем СМИ сообщают, что хакерская атака полностью вывела из строя внутренние IT-системы «Аэрофлота». Компьютеры не работают ни в Шереметьево, ни в офисах авиакомпании, ни в нацперевозчике. Полётные планы недоступны, самолеты не могут заправить, а у пассажиров нет возможности вернуть или переоформить билеты. В авиакомпании сообщили, что специалисты работают над скорейшим восстановлением штатной работы сервисов.
В Кремле информацию о хакерской атаке назвали «тревожной для всех».
«В прикладном плане, конечно же, нужно обращаться в правительство, Минтранс, саму компанию», — сказал пресс-секретарь президента Дмитрий Песков.
Позднее хакеры рассказали, что взломать системы «Аэрофлота» им «помогли» сотрудники авиакомпании, включая гендиректора Сергея Александровского, которые пренебрегают элементарной безопасностью паролей. По словам киберпреступников, Александровский не менял пароль с 2022 года, а в сети авиакомпании до сих пор использовались устаревшими операционными системами Windows XP и 2003. Это, по их словам, привело к компрометации всей инфраструктуры.
Источник:
- "Больше похоже на пункт приёма беженцев": о пассажирском коллапсе в аэропортах Москвы и Санкт-Петербурга
- "Кто там говорит, что самолёты в Ростов не летают?": блогер Шалаева похвалилась визитом в закрытый для гражданских рейсов аэропорт Платов
- Генпрокуратура предложила снизить возраст уголовной ответственности с 16 до 14 лет за ряд преступлений
- В российском аэропорту ввели плату за посещение курилки
- Пауэрбанк загорелся на борту пассажирского самолёта
Если политика компании позволяет нанимать и содержать неблагонадёжных админов, не требует от ИБ регулярно проверять деятельность админов с доступом к чувствительной информации, то это ещё и мощный косяк топ-руководства.
Так как многие компании у нас используют риск-ориентированный подход, типа "мы не будем внедрять DLP, мы принимаем риски", то пусть понимают, что отдача такого подхода именно вот так и выглядит. Колоссальные репутационные и финансовые риски, а при утечке ПДн ещё и уголовка прилетит кому-то кого назначат крайним.
Всё оборудование и ПО коммерческого сегмента поддерживает такие настройки ролей.
Например подобное АФ пытались провернуть года 3 назад в Газпромнефти и там нихера не получилось у "хацкеров".
А мы же сейчас говорим про корпорации у которых денег побольше. Вот в Аэрофлоте есть отдел ИБ и даже, скорее всего, не один, но чем они занимались теперь будет пристальным вниманием при расследовании.
Кстати коллеги из Postgres рекомендуют не 15, а 10Тб и дальше все вышеперечисленные мной мероприятия уже применять.
И первопроходцев уже впереди Вас много, только надо в инфополе находиться. Сейчас огромное количество информации и описаний различных кейсов миграции. Смотрите каналы основных интеграторов (Jet, Ланит, Т1 и прочие). Регайтесь на платформах, ходите по вебинарам. Вы не первопроходцы уже. КРОК недавно шикарно одну контору смигрировал с SAP. Короче - сами не можете, у нас уже куча тех, кто может и сделает это за деньги.
Предупреждали всех в 2012 - замещайтесь.
Первый жареный петух клюнул в 2014-м, всем было похер.
Второй жареный петух клюнул в 2022. С тех пор прошло 3,5 года и до сих пор не выбрали стратегию развития? Ничего кроме "подождём"? Ну подождите еще пять лет, или рассосётся или всё рухнет окончательно.
А серверы, сертифицированные под SAP, Деллы там и ХП, тоже через Аргентину обслуживаете? Диски, апгрейд, техподдержка NBD и прочее? У них поддержка через 1,5 года кончится, если вы максималку энтерпрайз покупали на 5 лет. SAP на BareMetal или на VMWare, или на Nutanix? Как там с обновлениями безопасности для гипервизоров и ОС?
Ну единое решение в Вашем случае - перевод юрлица в США и переезд всей конторы туда же. Смена владельца на кошерного и продолжайте пользоваться сап и оракл.
Помню как мы за 3 месяца меняли ~700 Cisco ASA со смарт лицензиями, так как их просто окирпичили одним махом. Т.е. сначала их перешивали по-серому и потом спешно меняли. А так да - можно пользовать САП с ораклом и надеяться, что они не окирпичатся в один день все.
А по поводу серверов: я может быть отстал, что, у Ядра появились серверы, сертифицированные для SAP? Или нашелись в стране храбрые Чип и Дейл, который взялся за поддержку SAP на несертифицированном железе? А съехали с серт.железа как? Подменой MAC-адресов?
Тут сам бог велел как можно быстрее с этого решения переехать.
Особые требования к железу у гипервизоров есть: железо должно быть в списке совместимости вендора, иначе работоспособность не гарантирована и поддержка может не оказываться. Оно может работать, но в случае непредвиденных глюков с хранилкой, сетью и прочим - вендор разбираться не будет и помощи сообщества не найти. Так то, конечно, можно VMWare ESXi натянуть на домашний комп с Core i5 (есть умельцы) и оно даже работать будет с парой виртуалок. Но кто гарантирует на этом SLA 10 минут, Uptime 99,9998% в год, RTO/RPO 5/10 минут?
1) Импортозамещение снимает риски долгого простоя из-за действий западных вендоров (блокировки функционала, отказ модулей, отсутствие патчей устраняющих критичные уязвимости), а так же косвенно влияет на SLA: устраняет возможные задержки решений инцидентов из-за отсутствия прямой поддержки вендора и невозможность установки обновлений, устраняющих ошибки в работе ПО.
2) Зоопарк организуется как раз из-за попытки усидеть на двух стульях: импортозамещение инфраструктуры при отсутствии импортозамещения ППО. Если Вы используете вендорские решения, у которых требования совместимости по инфраструктурным компонентам есть, то будьте добры использовать весь комплекс программных и аппаратных средств, протестированных вместе и рекомендованных как максимально отказоустойчивые конфигурации. Это тоже влияет на SLA и расследование инцидентов.
3) Объективно отсутствует замена SAP одним единым решением. Его можно заменить на несколько наших решений, но при этом возникает проблема интеграции их между собой. Какие решения, заменяющие отдельные бизнес-модули, реализованные в SAP, Вам подойдут - в этом могут помочь интеграторы, которые уже не один подобный кейс реализовали. Как осуществлять интеграцию этих модулей между собой - тоже подскажут. Заменить ваш SAP NetWeaver тоже есть чем. Если нет желания модернизировать свою архитектуру и есть желание остаться на западных программных решениях, принимаем риски указанные в пунктах 1,2 и не паримся.
Повторюсь, я обеими руками за российские решения! Но их нет! что по железу (это как раз решаемо переконфигурированием софта), что по софту. Мы меняем, но даже уйти с Exchange - то еще развлечение... Я был в консалтерах, в том числе и в Деллойте.. Я отлично понимаю процесс внедрения и сумму в которую это выльется и в кадровые проблемы..что на этапе проекта, что в последствии.. (многие откажутся работать при внедрении системы, т.к на пользователей ляжет доп. нагрузка). Внедрение новой системы- ад. Нам удалось с 3ей попытки.. Один раз чуть бизнес не порушился..И поэтому получить гарантированные проблемы сейчас, заплатив за них еще миллиарды, устраняя гипотетические - завтра..Это глупость.. Мы это делаем, но последовательно..Даже федеральные структуры с неограниченным финансированием сидят на Оракле.. (3 года процесс миграции, а конь еще не валялся) что вы хотите от конторы средней руки.. Кто молодец, так это Сбер..Альфа -тоже в процессе, но им деваться некуда..
1. Аэрофлот
2. Аэропорт
Сегодня с 10 утра «Аэрофлот» начал выполнять рейсы по расписанию.
По данным компании, сегодня планируется выполнить 93% всех запланированных перелётов. Пассажиры могут пройти онлайн-регистрацию, а также зарегистрироваться в аэропорту.
Сайт авиакомпании работает в штатном режиме.
Кстати тоже очень странно, я смотрел в обед 28.07 многие рейсы все же вылетали не смотря на очко, так что все же респект, не допустили коллапса
Эти удовольствия надолго. Рецидивы возможны в любую минуту, так как вся внутренняя сеть до сих пор в руках хакеров и в них останется до полного "переезда" на иные платформы.
А это может занять, по оценке экспертов "до полугода".
Компьютерная структура "Аэрофлота" -архигромоздкая и сложная.
Создание в ней коллапса и хаоса, конечно, трудоемко, ( сутки работы), но более чем реально.
Так или иначе, но такая парализация оказалась даже эффективнее и дешевле, чем дроновые атаки.
Кстати, помимо транспортных, на очереди пенсионные, энергетические, почтовые, и пр. структуры. Они тоже намертво проплетены компьютерными связями и тоже абсолютно уязвимы.
К сожалению ,вполне возможно, хакеры еще оттянутся по полной, наблюдая за крахом каждой из них.
Для вытаскивания рук хакеров из внутренней сети просто вытаскивают провод с интернетом из порта. Ну а дальше восстанавливание бэкапов и тд. и тп.
Сегодня с 10 утра «Аэрофлот» начал выполнять рейсы по расписанию.
По данным компании, сегодня планируется выполнить 93% всех запланированных перелётов. Пассажиры могут пройти онлайн-регистрацию, а также зарегистрироваться в аэропорту.
Сайт авиакомпании работает в штатном режиме.
У нас в любой крупной конторе всегда так: "безопасники" задолбают документами, проверками, зачётами... а на деле дыра на дыре.
В этом есть смысл и такой подход решает много проблем. Если вы будете строить свою инфраструктуру с учётом того, что железо не надежно, что люди не надёжны, что менеджеры тупые, а топ менеджеры продажные и.т.д То в итоге, у вас получится надёжная система.
Что касается Аэрофлота, то удивительно, что у таких компаний доходит до огласки и серьёзных проблем. Особенно в нынешней ситуации, когда любая активность должна фиксироваться и анализироваться. Банальный контроль входов, выходов, открытия файлов, папок, доступ к БД, передача данных и т.д. Всё это можно контролировать и анализировать.
Но чтоб это было сделано, нужно чтоб топ менеджеры и владельцы, хотя бы разок заплатили из своего кармана за все убытки. Тогда сразу озарение придет.