ЦАРКА сделала важное заявление по киберкатастрофе "Аэрофлота"

В компании напомнили, что 28 июля группировки Silent Crow и "Киберпартизаны BY" провели масштабную атаку на корпоративную сеть ПАО "Аэрофлот".

Ключевые факты взлома:

• В сети использовались Windows XP и Windows Server 2003.
• Пароли сотрудников, включая топ-менеджмент, не менялись годами. По данным хакеров, гендиректор "Аэрофлота" использовал один пароль с 2022 года.
• Хакеры находились в инфраструктуре более года и выкачали массивы данных: переписка, звонки, история перелетов, архивы.

Один сбой – минус вся инфраструктура

"Аэрофлот" – объект критической инфраструктуры. Данный кейс показал, что инциденты информационной безопасности способны за считаные часы обрушить бизнес- и госпроцессы.

"В Казахстане аналогичным объектам присваивается статус КВОИКИ, и требования к их защите не должны быть формальностью".Эксперты ЦАРКА

Казахстан: уроки и риски

По их словам, в Казахстане вопросы кибербезопасности авиасегмента также поднимаются регулярно.

"В 2021 году исследователь через багбаунти-платформу выявил критическую уязвимость в почтовой системе столичного аэропорта, которая потенциально давала доступ к внутренним сервисам. Инцидент удалось предотвратить, но он наглядно показал, насколько тонка грань между безопасностью и катастрофой".Эксперты ЦАРКА

Как отмечается, ИБ-сообщество Казахстана знает кейсы, когда злоумышленники зашифровывали системы акиматов, университетов, нефтехимических предприятий и нацхолдингов.

APT-группировки внутри КВОИКИ

"Отдельная угроза – это целевые атаки (APT), которые могут годами находиться в инфраструктуре объектов КВОИКИ, оставаясь незамеченными. Такие группы не просто крадут данные, а закладывают механизмы для будущих атак. Отсутствие катастрофичных инцидентов в Казахстане не означает, что их не может произойти – это лишь сигнал, что закладки пока не были активированы".Эксперты ЦАРКА

Этот фактор, как подчеркнули специалисты, должен стать триггером для постоянного мониторинга, threat hunting и проверки инфраструктуры на признаки скрытого присутствия.

Резервное копирование – необходимость

"У КВОИКИ должны быть отработанные сценарии восстановления, включая изолированные резервные копии. Без них любая атака превращается в конец инфраструктуры, а не просто в инцидент".Эксперты ЦАРКА

По их словам, в Казахстане требования к бэкапам есть, но на практике они часто не работают.

Двухфакторная аутентификация в корпоративном сегменте

"Внедрение 2FA в корпоративном сегменте – не опция, а обязательный стандарт. Один пароль – это вчерашний день: фишинг, утечки и перебор учетных данных делают его уязвимым. В Казахстане лишь единицы КВОИКИ используют 2FA внутри корпоративного сегмента. Чаще защищают внешний периметр, забывая, что взлом одной учетной записи внутри Сети открывает путь ко всей инфраструктуре".Эксперты ЦАРКА

Регулярное обновление систем

Также специалисты отметили, что Windows XP в 2025 году – это не анахронизм, а открытая дверь для кибератак. Microsoft прекратила поддержку XP в 2014 году, и любая уязвимость в этой системе навсегда остается "дырой".

"В Казахстане XP до сих пор встречается на рабочих станциях и даже серверах промышленных объектов. Это критический риск для национальной безопасности".Эксперты ЦАРКА

Кибербезопасность – это не бумага

Они подчеркнули, что "ни одна технология не спасет, если нет дисциплины, контроля и постоянной работы по улучшению защиты".

"Реальные действия – это обновления, 2FA, изолированные бэкапы, обучение сотрудников и проверка планов восстановления. Инцидент с "Аэрофлотом" ясно показал: в мире нет защищенных систем. Есть только те, кто готов к атаке, и те, кто просто надеется, что она не случится", – заключили в ЦАРКА.

28 июля 2025 года в Минтранспорта рассказали, как сбой в системах "Аэрофлота" повлиял на рейсы в/из Казахстана.