TSARKA предупреждает о рисках для Казахстана после атаки на «Аэрофлот»

Центр анализа и расследования кибератак TSARKA выпустил предупреждение для Казахстана на фоне масштабной кибератаки на ПАО «Аэрофлот», которая произошла 28 июля. Группировки Silent Crow и «Киберпартизаны BY» атаковали корпоративную сеть авиакомпании, повредив более 7000 серверов и рабочих станций. В результате атаки пострадали важные внутренние системы и базы данных, включая CREW, Sabre, SharePoint и CRM. Несмотря на инцидент, «Аэрофлот» сообщил о намерении выполнить 93% рейсов из Москвы и обратно.

Ключевые факты взлома указывают на то, что в сети использовались устаревшие системы Windows XP и Windows Server 2003. Пароли сотрудников, включая топ-менеджмент, не обновлялись на протяжении нескольких лет; гендиректор авиакомпании использовал один и тот же пароль с 2022 года. Хакеры проникли в инфраструктуру более года и смогли получить доступ к значительным объемам данных — переписке, звонкам и истории перелетов.

Специалисты TSARKA подчеркивают, что «Аэрофлот» является объектом критической инфраструктуры и что инциденты в сфере информационной безопасности могут быстро нарушить как бизнес-процессы, так и государственные функции. В Казахстане объекты с аналогичным статусом классифицируются как КВОИКИ, и требования к их защите должны быть строгими. Однако на практике многие организации еще далеки от необходимого уровня киберзащиты.

В заключение, TSARKA отметила, что вопросы кибербезопасности в авиасегменте Казахстана поднимаются регулярно. В 2021 году была предотвращена потенциально опасная уязвимость в почтовой системе столичного аэропорта, которая могла дать доступ к внутренним сервисам. ИБ-сообщество Казахстана также помнит случаи, когда хакеры зашифровали системы акиматов и других важных учреждений. Специалисты рекомендуют регулярно обновлять системы, применять резервное копирование и двухфакторную аутентификацию как меры для повышения киберустойчивости и защиты национальной безопасности.

Недавно в Алматы был задержан хакер, подозреваемый в атаках на серверы иностранных компаний.