🎉 «Ну что? Мы сделали это!» Так радовался в июне 2025 года у себя в сторис в Telegram Иван Семчук, гендиректор небольшой IT-компании «Бакка Софт». В этот день «Аэрофлот» официально представил свое новое веб-приложение — его разработкой занималась компания Семчука. Через месяц похожий восторг, по всей видимости, испытали украинские и белорусские хакеры — они смогли пробраться в инфраструктуру «Аэрофлота», используя «дырявый периметр» этого подрядчика. Это деталь из моего нового расследования про летнюю атаку на «Аэрофлот». Напомню, в конце июля «Аэрофлот» почти сутки не летал после совместной атаки Silent Crow и Киберпартизан Беларуси. Отменили и задержали больше сотни рейсов — по официальной версии авиакомпании, из-за «сбоя информационных систем». 🔍 Как продвигались хакеры — ключевые моменты • Silent Crow начали с подрядчика — той самой «Бакка Софт». Взлом подрядчика обнаружили ещё в январе, но incident response провели плохо, и спустя несколько месяцев хакеры вернулись уже осторожнее. Ранее по аналогичной схеме, через взлом подрядчика, Silent Crow «заходили» в «Ростелеком». • В «Аэрофлоте» долгое время не было 2FA на терминальных серверах, а у подрядчика был удаленный доступ к инфраструктуре. Хакеры зашли с терминальника, затем «провалились» в Active Directory и смогли получить учетку с высокими привилегиями. • В итоге, у хакеров была учетная запись администратора в корпоративном домене «Аэрофлота»(!) • Дальше у них был этап сбора информации из корпоративных систем. Отдельно подчеркну, что ответа на то, действительно ли хакеры смогли достать полный массив баз данных истории перелетов «Аэрофлота» — нет. • Потом они разлили групповую политику, которая по расписанию запустила wipe на рабочих станциях. После запуска процесса уничтожения данных хакеры убили и сам корпоративный домен. • Разрушение IT-инфраструктуры «Аэрофлота» началось около 5 утра 28 июля: сотрудники начали писали в чаты, что не работают почта, корпоративный VPN, а рабочие станции уходят в циклическую перезагрузку и др. • Около 7 утра, после того, как стало понятно, что взломали AD, поступила команда «все вырубаем»: в офисах «Аэрофлота» сначала отключили каналы связи, затем — отрубили электричество и отдали приказ приостановить полеты. «Команде „Аэрофлота” респект хотя бы за то, что они быстро все рубанули, и в итоге очень большой кусок инфраструктуры смогли спасти», — говорит один из моих собеседников в сфере ИБ. 🧩 Источник, знакомый с материалами расследования кибератаки, говорит, что хакеры использовали около двух десятков образцов вредоносного ПО:  • модифицированные администраторские/диагностические утилиты, которые делают дампы оперативной памяти, что позволяет извлечь пароли, ключи и сеансы; • самописные модули управления; • общедоступное ПО и прокси, в частности Ghost Proxy и HAProxy. Вывод у него примерно такой: «Здесь не было какого-то ноу-хау. Это дело громкое политически, но в техническом плане там ничего необычного». ⚠️ Однако в ходе расследования был обнаружен интересный нарыв. Оказывается, индустрия ИБ в России негодует из-за того, что НКЦКИ ФСБ не делится с отраслью индикаторами компрометации (IoC) по этой и еще ряду крупных кибератак украинских хакеров, что не позволяет другим компаниям учесть ошибки «Аэрофлота» и закрыть те лазейки, которыми воспользовались хакеры. “Мы IoC’и “Аэрофлота” достали, но из-под полы, по дружбе. В бюллетенях НКЦКИ их не было. По сути, всем остальным дали понять – крутитесь как хотите, теперь ваша очередь тонуть”, – говорит мой собеседник в ИБ-компании. @kolomychenko