Эксперт Малинин оценил ущерб от хакерской атаки на авиацию
Российские авиакомпании столкнулись с масштабным сбоем в работе информационных систем, что привело к задержкам и отменам рейсов. Об этом компании заявили утром 28 июля. Ответственность за атаку взяли две большие группировки хакеров. Технический директор «МК» Сергей Малинин рассказал, во сколько могла обойтись атака на крупнейшие авиакомпании и когда они могут восстановить свой режим работы.
тестовый баннер под заглавное изображение
«Возможны перебои в работе сервисов. В связи с этим ожидается вынужденная корректировка в расписании выполняемых рейсов, в том числе путем переноса и отмены», – сообщили компании.
Напомним, что к 10:12 мск было отменено 42 рейса из Москвы и в столицу, включая направления в Екатеринбург, Сочи, Санкт-Петербург, Казань и другие города. Через час список пополнился еще семью рейсами, среди которых — полеты в Калининград, Астану и Красноярск.
Хакерская группировка Silent Crow уже заявила, что сбой стал результатом кибератаки, в ходе которой были уничтожены около 7000 серверов и похищено 22 ТБ данных.
«Нам удалось: получить и выгрузить полный массив баз данных истории перелетов. Скомпрометировать все критические корпоративные системы, получить контроль над персональными компьютерами сотрудников, включая высшее руководство. Скопировать данные с серверов прослушки, включая аудиозаписи телефонных разговоров и перехваченные коммуникации, извлечь данные из систем наблюдения и контроля за персоналом» ,— похвастали хакеры.
Также они предупредили: «В ближайшее время начнется публикация части полученных данных».
Отметим, что Киберпартизаны BY в Беларуси признаны экстремистским сообществом, а Silent Crow ранее заявляли, что взламывали Росреестр.
Минтранс сообщил, что из-за отмены рейсов пострадали около 75 тыс. пассажиров. Московская транспортная прокуратура взяла ситуацию на контроль.
По словам Сергея Малинина, сам факт атаки не удивителен, так как они совершаются постоянно и защититься на сто процентов невозможно.
– А как такое вообще допустили? В чем у авиакомпаний может быть прокол?
– Самые простые вторжения осуществляются с помощью социальной инженерии. То есть, когда на служебную почту присылается письмо, например: «Пароль к вашей почте истекает, нажмите сюда», или письмо в бухгалтерию с темой «Ошибочный платёж» — что-то, что бухгалтер точно откроет. Получатель скачивает вложение с вирусом, запускает его, и злоумышленники получают контроль над системой.
Для самого получателя ничего заметного не происходит. Но в этот момент вредоносный код уже передает управление компьютером внешним злоумышленникам. Они получают доступ не только к этому компьютеру, но и к внутренней сети компании. Дальше — постепенное продвижение по системам, поиск новых уязвимостей и расширение контроля.
Иногда даже не нужна социальная инженерия — хакеры находят уязвимости в самом программном обеспечении (ПО). Они есть всегда, даже если софт сертифицирован.
Полностью избежать уязвимостей невозможно. Если хакерская группа целенаправленно атакует систему, рано или поздно она найдет способ проникнуть. У крупных авиакомпаний наверняка были мощные системы защиты. Но если две опытные хакерские группы объединяются и месяцами готовят атаку — шансов избежать взлома почти нет.
– Хакеры могли использовать что-то новое?
– В глобальном смысле — нет. Но постоянно появляются новые инструменты для взлома. Изучаются корпоративные системы, например, билетные сервисы авиакомпаний, совершенствуются методы социальной инженерии.
Не исключен и внутренний фактор. Например, если кто-то из сотрудников пошел на сговор с хакерами. Это маловероятно, но такой сценарий дает почти неограниченные возможности атакующей стороне.
Лучшая защита — полная изоляция критически важных систем от интернета. Так работает, например, Центробанк: их внутренние сети физически не подключены к внешним сетям. Риск взлома в таком случае снижается на порядки.
В целом грамотная защита строится на трех принципах: базовые технические меры, мониторинг аномальной активности во внутренних сетях и непрерывный процесс просвещения сотрудников компании о том, как не стать жертвой уловок хакеров.
– Хакеров можно найти и арестовать?
– Практически нет. Были единичные случаи, когда на Западе арестовывали «хакеров», но это чаще политические игры. Если группировка действует из враждебной юрисдикции, шансы на их поимку близки к нулю.
– Кто мог быть заказчиком?
– Многие хакеры действуют из идейных соображений — без заказчика. Но учитывая масштаб атаки, а именно год подготовки и участие нескольких известных групп, скорее всего, было стороннее финансирование. Заинтересованных сторон может быть много, устанешь загибать пальцы.
– Сколько это могло стоить?
– Есть два понятия: стоимость исполнения и цена заказчика. Например, хакеры могут провести атаку за $500, но заказчик заплатит $50 тыс.
В России есть легальные «хакерские конкурсы», когда компании платят хакерам за тестовые взломы, чтобы проверить уровень своей кибербезопасности и найти слабые места. За успешную атаку на банк, например, могут заплатить миллион рублей. Предположу, что реальные атаки сложных защищенных структур могут стоить заказчикам и миллионы долларов.
– Компании смогут оправиться от случившейся атаки?
– Главный критерий – насколько быстро компании смогут восстановить свою работоспособность. Важно понимать, что даже если у них есть резервные копии, восстановление может занять много времени, вплоть от полугода.
