«Гендиректор не менял пароль с 2022 года». Белорусские киберы рассказали подробности атаки на серверы «Аэрофлота»
Уничтожили свыше 7 тысяч серверов и рабочих станций в офисах Шереметьево, Мелькисарово и соответствующих дата‑центрах, сообщают Киберпартизаны.
Киберпартизаны отмечают, что затерли базы данных и информационные системы CREW, Sabre, Sharepoint, Exchange, КАСУД, Sirax, Софи, CRM, ERP, 1C, системы безопасности и другие элементы структуры корпоративной сети «Аэрофлот», вытащили множество баз данных, прослушку сотрудников, почту и прочее.
Также выгружен массив баз данных истории полетов, который теперь можно будет использовать по запросу для независимых расследований. Совместно с коллегами из Silent Crow они месяцами находились в корпоративной сети «Аэрофлот», развивая доступы.
Удачное проникновение стало возможным во многом благодаря тому, что некоторые сотрудники компании пренебрегали элементарной безопасностью паролей. Так генеральный директор «Аэрофлота» Сергей Александровский не менял пароль аж с 2022 г.
В сети используются Windows XP и 2003, что привело к компрометации всей их инфраструктуры.
Таким образом они получили контроль над персональными компьютерами сотрудников, включая высшее руководство.
«Методично продвигались до ядра инфраструктуры — Tier 0. Кибератака на корпоративную сеть «Аэрофлота» началась в ночь с 27 на 28 июля. К утру мы уничтожили свыше 7 тысяч серверов и рабочих станций, базы данных и внутренние системы. Все данные затерты особым инновационным алгоритмом».
«Помогаем украинцам в борьбе с оккупантом, наносим киберудар по «Аэрофлоту» и парализуем крупнейшую авиакомпанию РФ», — отмечают Киберпартизаны.