Что такое кибервойна в 2025 году и как с этим связан взлом Аэрофлота?
Написать этот текст меня "вдохновил" относительно недавний инцидент со взломом Аэрофлота. У меня появилось несколько мыслей, которые, на первый взгляд, могут напрямую к этому событию никак не относиться, но это не так. Может быть получится слегка сумбурно, но мы справимся 😎
PS: чтобы не было "подрывов пятой точки", оговорюсь, что все мысли в статье - это лишь мои предположения и они не обязательно верные. И еще, если вы крутой безопасник, то многие вещи для вас и так будут понятны, проходите мимо.
▪︎ ▪︎ ▪︎
Перед тем, как прыгать в сложные размышления касательно современной кибервойны, давайте восстановим хронологию инцидента по Аэрофлоту для тех, кто не совсем в контексте (я выделю лишь ключевые тайминги):
В 08:57 утра, 28 июля 2025 г. хакеры из Silent Crow взяли на себя ответственность за инцидент. Примерно в тоже время к "пресс-релизу" подключились хакеры Киберпартизаны BY (это была их совместная с Silent Crow "операция").
На протяжении всего дня Аэрофлот публиковал сообщения об отмене большого количества рейсов.
28 июля некоторые эксперты говорили о том, что на полное восстановление инфраструктуры Аэрофлоту может потребоваться до полугода.
В 11:32 утра, 29 июля 2025 г. Аэрофлот опубликовал сообщение, что 93% рейсов начали полеты в штатном режиме.
В 18:34 вечера, 9 августа 2025 г. Silent Crow опубликовал несколько скриншотов скомпрометированных данных. На момент написания этой статьи, больше постов у них не было. Примечательно, что с момента создания канала (19 февраля 2025 г.) у них в принципе всего несколько постов о других взломах.
Картину восстановили и теперь на этом примере поделюсь несколькими соображениями.
1️⃣ А что это за такие хакерские группировки?
Известно, что Silent Crow - это проукраинские хакеры (они и сами это не скрывают) и вся их деятельность направлена на нанесение ущерба российской инфраструктуре. За последний год у них было несколько успешных попыток, включая Аэрофлот (Ростелеком, Росреестр и ДИТ Москвы). Сами они, правда, заявляют, что атаковали более 100 крупных компаний. Это заявление будет важным для нас для рассуждений ниже.
Киберпартизаны BY - чуть более понятная организация. Сами они себя называют децентрализованной анонимной группой хакеров-активистов, целью которых является борьба с действующим режимом в Беларуси. Существует данное объединение с сентября 2020 года. Известны тем, что работали, в основном, по силовикам, выкладывая их данные в публичный доступ.
2️⃣ А точно ли это хактивисты?
Для начала о терминах:
Хактивизм - это такое явление, когда через различные взломы (такой тип акций) хакеры пытаются обратить внимание общественности на социально значимые проблемы
Очень рекомендую ознакомиться с игрой "Watch Dogs 2" или посмотреть сериал "Мистер Робот" - там ровно про хактивизм в первозданном виде.
Вот тут мы уже ближе продвигаемся к сути. Silent Crow и Киберпартизаны BY далеко не первые, кто начали заниматься подобной деятельностью. Ключевое противоречие начинается в тот момент, когда подобные "акции" приобретают исключительно политический характер. У нас, как у безопасников, далеко не всегда есть точный ответ, а является ли та или иная группировка самостоятельной единицей, которая действует "по зову сердца", а не по заказу конкретной спецслужбы. При этом, крупные ИБ компании периодически выпускают супер крутые отчеты с аналитикой связей между различными группировками. И вот как раз к выходу этой статьи команда Kaspersky Cyber Threat Intelligence выпустила отчет "Записки цифрового ревизора. Три кластера угроз в киберпространстве" - очень рекомендую ознакомиться. Ключевой вывод заключается в том, что подавляющее большинство проукраинских хакерских группировок связаны между собой (этот вывод нам тоже очень пригодится для дальнейших рассуждений).
А теперь немного подушню. Как по мне, именно хактивистами подобные группировки называть нельзя, по ряду причин:
Как я уже писал выше, все подобные акции носят чисто политический характер против конкретной страны. В наших примерах с Silent Crow и Киберпартизаны BY - ровно такая история. У вторых даже в основных целях организации зафиксированы 3 ключевых цели: "искать информацию про чиновников, силовиков и их преступления; показывать «гнилую» сущность режима; поспособствовать Лукашенко покинуть Белоруссию". Это сильно отличается от изначальной концепции хактивизма, мягко говоря.
Ресурсы (даже развертывание инфраструктуры для атаки) и подготовка к подобным операциям - это не самая тривиальная и дешевая задача. Да, бесспорно, подобное можно провернуть без финансирования государства и спецслужб, но это сильно сложнее.
Для некоторых подобных операций необходимы разведданные. Не утверждаю, что это необходимо всегда и что так было с Аэрофлотом - скорее нет. Но это точно облегчает задачу и повышает процент "успеха". Ну а вот от кого разведанные обычно получают, додумаете сами.
С этими тезисами можно спорить - есть миллион тонкостей и да, я полностью согласен с тем, что иногда хактивисты тоже могут "работать в политическом направлении" и такое встречается. У меня вопрос лишь в количестве "политических акций" от общего числа всех остальных, совершенных конкретной группировкой и общим позиционированием. О нем как раз поговорим дальше.
3️⃣ Стиль и позиционирование
Очень важный аспект подобных операций - это освещение их в СМИ. Давайте как раз на примере Аэрофлота и заявлений Silent Crow разберемся детальнее:
Выше я писал про "свыше 100 успешных атак" на другие крупные компании. Звучит сильно, но подтверждений мы не видим - это создание мифа и образа вокруг группировки.
💬 "В результате действий было уничтожено около 7000 серверов — физических и виртуальных." Это самое яркое заявление, как по мне, которое не выдерживает никакой критики. Давайте начнем с того, что инфраструктура у таких крупных компаний распределенная и часть систем может вообще находиться в стандартных коммерческих облаках, к которым ни у кого нет доступа, кроме админов самих этих сервисов. А часть систем вообще никак не связаны напрямую с корповой инфраструктурой Аэрофлота. Дальше, в принципе, можно не идти, поэтому заявление о "полном уничтожении" - это красивые слова и явное преувеличение.
💬 "Все эти ресурсы теперь недоступны или уничтожены, восстановление будет требовать, возможно, десятки миллионов долларов. Ущерб — стратегический." Вспоминаем хронологию, из которой видно, что на второй день "полное уничтожение" не очень сработало. У Аэрофлота были бэкапы и хранились они, очевидно, там, куда Silent Crow доступ не получили. Если говорить про экономику, то это, конечно, никакие не десятки миллионов долларов. Считать надо возвраты за билеты, простой самолетов, топливо, зарплаты персонала и т.д. Да, ущерб большой, но точно не "стратегический". Я согласен лишь с тем, что он был бы таковым, если бы не было бэкапов. В таком сценарии, мы лишились бы на долгое время возможности перелетов, потому что Аэрофлот - это крупнейшая авиакомпания в стране.
Что мы имеем? Своего рода манифест с яркими словами-крючками: "стратегический ущерб", "десятки миллионов долларов", "мы не просто уничтожили инфраструктуру — мы оставили след" и т.д. Это совершенно стандартная тактика классической информационной войны, целью которой является посеять страх среди общества, снизить лояльность военных, внести в повестку тезис о том, что "государство не может вас защитить" и далее по тексту (для тех, кто не в курсе, "ядро" схемы очень сильно похоже на классические террористические действия).
4️⃣ Какие выводы?
Данный инцидент выглядит, как классическая атака на критическую инфраструктуру страны прогосударственных хакеров, про которых мало что известно, и, тем самым, возникают вопросы об их настоящей принадлежности, истинной мотивации и т.д. Аэрофлот я взял в качестве примера для такой темы лишь потому, что это очень показательная история для раскрытия тезисов.
Современная кибервойна выглядит именно таким образом - создание мифа о страшных и неуязвимых хакерах, которые действуют по своей инициативе и зову сердца. При этом, есть версии, что это специально/случайно сформированные подразделения людей, которые по заказу и с поддержкой конкретных спецслужб совершают атаки, с целью нанесения экономического, репутационного, информационно-психологического и иного ущерба конкретной стране. Ну и факт того, что большинство проукраинских группировок так или иначе связаны между собой, говорит сам за себя. Иными словами, для простоты можно назвать такие "формирования" кибервойсками. Знаю, что запахло пропагандистскими штампами, но, простите - это тот самый случай, когда такая формулировка подходит идеально. Повторю дисклеймер из начала статьи - это лишь мои мысли, не претендую на правильность.
Может возникнуть логичный вопрос: "А зачем так сложно? Зачем создавать подобные группировки, если можно действовать напрямую в условиях открытого конфликта?" Ответ очень простой - все тоже самое, как и с ЧВК. Подобные организации создаются, чтобы можно было проводить супер деликатные и сложные операции "чужими руками", которые не относятся напрямую к конкретному государству. Это эффективная стратегия, никому не нужны лишние проблемы. Намного проще в случае необходимости откреститься и сказать, что "они сами по себе, мы к ним никакого отношения не имеем".
А все ли хакеры "работают на государство"? Естественно, нет. В общей массе группировок, которые не имеют политической мотивации - довольно много.
Современная кибервойна всегда идет в "информационно-психологическом" сопровождении. Это тезис о том, что любой современный конфликт, зачастую, правильно называть "гибридной войной".
Среди "ноунеймов - хактивистов" в различных инцидентах фигурируют и полноценные APT-группировки.
Свои "кибервойска" есть у всех государств, которые могут себе это позволить. Никаких иллюзий на этот счет, надеюсь, ни у кого нет.
Группировки "на службе" у государства далеко не всегда занимаются только лишь атаками на КИИ. В их функционал также входит шпионаж, дезинформация, работа с общественным мнением и многое другое.
В заключении, хотел бы сказать следующее: у вас могло создаться впечатление, что я "обесценил усилия" хакеров, сказав, что все восстановили за день и вот это вот все. Мол, защита у нас хорошая. Естественно, это не так. В данном случае повезло, что были бэкапы, потому что, честно говоря, уровень ИБ в Аэрофлоте, судя по некоторым источникам, оставляет желать лучшего (слабы пароли у топов, устаревшие ОС на рабочих станциях сотрудников и т.д.) Не берусь судить правдивость этой информации, но я точно допускаю, что так и могло быть. К моему огромному сожалению, ситуация плохая не только у Аэрофлота. Мне бы очень хотелось, чтобы коллеги делали выводы из подобных кейсов, потому что атаки не прекратятся еще много лет. Есть ощущение, что их плотность только возрастет.