Július 28-án súlyos kibertámadás bénította meg az orosz állami légitársaság, az Aeroflot IT-infrastruktúráját. A támadás következményeként több mint 7 ezer szerver és munkaállomás semmisült meg, és az informatikai hálózat gyakorlatilag teljesen összeomlott. A támadás mögött a „Silent Crow” és a „Cyber Partisans BY” nevű hackercsoportok állnak. Előbbiek korábban is hajtottak már végre oroszországi infrastruktúrák elleni támadásokat.
A hacktivista csoport állítása szerint a támadás elsődleges oka az Aeroflot súlyos IT-biztonsági mulasztásai voltak. A cég még mindig Windows XP és Windows Server 2003 operációs rendszereket használt, amelyekhez évek óta nem érkeznek biztonsági frissítések. A társaság vezérigazgatója három éve nem cserélte le a jelszavát, ami példátlan hanyagság egy kritikus infrastruktúrát üzemeltető szervezet élén. A támadók hónapokon keresztül bent voltak a vállalat hálózatában, és csak ezután, július 28-án éjjel indították el a támadás aktív szakaszát.
Az Aeroflot belső adatbázisai, megfigyelési rendszerei, személyzeti felügyeleti platformjai és e-mail rendszerei kompromittálódtak. A támadók állítása szerint 12 terabájtnyi adatbázist, 8 terabájtnyi hálózati megosztásból elérhető fájlt, valamint 2 terabájtnyi vállalati levelezést szereztek meg. A rendszerleállás miatt aznap közel 100 járatot töröltek, a moszkvai Sheremetyevo repülőtér forgalma megbénult. A támadók közlése szerint sok adat végleg megsemmisült, és a vállalati hálózat „romokban hever”. A kiszivárogtatott anyagok között várhatóan bizalmas belső dokumentumok is szerepelnek majd.
Az Aeroflot először csak egy „ismeretlen eredetű IT-hibára” hivatkozott, de később az orosz főügyészség is elismerte a behatolást, és büntetőeljárást indított a számítógépes rendszerekhez való jogosulatlan hozzáférés miatt.
A Kreml szóvivője, Dmitrij Peszkov is megszólalt az ügyben, és úgy nyilatkozott:
„A kibertámadások minden nagy közszolgáltatást nyújtó vállalat számára valós fenyegetést jelentenek. A helyzet aggodalomra ad okot.”
Az eset nem egyedülálló. Korábban már több orosz vállalati és kormányzati célpont is hasonló támadások áldozatául esett, különösen az Ukrajna elleni háború kezdete óta aktivizálódott hacktivista mozgalmak célkeresztjében. A „Cyber Partisans BY” 2022-ben például Belarusz vasúti hálózatát bénította meg, hogy megakadályozza az orosz csapatok mozgását.
A támadás sikerességét nem kizárólag a külső fenyegetés, hanem az alapvető információbiztonsági gyakorlatok teljes hiánya tette lehetővé. Egy ilyen méretű szervezetnél minimum elvárás a naprakész operációs rendszerek használata, jelszavak rendszeres cseréje, valamint az alkalmazottak IT-biztonsági képzése. A támadás időzítése és módszerei alapján jól tervezett, mélyre hatoló műveletről van szó, amelyet feltételezhetően belülről is segítettek.
A támadás komoly figyelmeztetés minden nagyvállalat, különösen a közszolgáltatók számára:
- Ne halogassák az IT-infrastruktúra modernizálását!
- Ne bízzanak abban, hogy „úgysem leszünk célpontok”!
- Ne tekintsék formális kötelességnek az IT-biztonságot: a leggyengébb láncszem – például egy régi jelszó – az egész rendszer bukását okozhatja.