Три гучні удари за пів року: що відомо про хакерів, які паралізували "Аерофлот"

Хакерська група Silent Crow спільно з "Кіберпартизани BY" 28 липня зламала внутрішню ІТ-інфраструктуру "Аерофлоту" і знищила близько семи тисяч фізичних і віртуальних серверів.

Для Silent Crow це вже третя гучна атака на установи РФ у 2025 році. Група, яка публічно заявила про себе на початку цього року, демонструє значні результати у завданні шкоди Росії в кіберпросторі.

ЕП зібрала попередні атаки Silent Crow, які передували паралічу "Аерофлоту", і розповідає про них нижче.

Атака на "Аерофлот"

За словами самих хакерів, вони перебували всередині корпоративної мережі найбільшої російської авіакомпанії протягом року. У результаті їм вдалося вивантажити повну базу даних історії перельотів, скомпрометувати критичні корпоративні системи та отримати контроль над комп'ютерами співробітників, включаючи керівництво компанії.

У Silent Crow зазначили, що було знищено близько 7 тис. серверів: фізичних і віртуальних. Обсяг отриманої інформації становить 12 ТБ баз даних, 8 ТБ файлів із Windows Share і 2 ТБ корпоративної пошти. За оцінками хакерів, відновлення систем може коштувати десятки мільйонів доларів, а збитки мають стратегічний характер для самої компанії.

Генпрокуратура Росії підтвердила, що причиною збою стала хакерська атака. Порушено кримінальну справу за ознаками злочину, передбаченого частиною 4 статті 272 КК РФ (неправомірний доступ до комп'ютерної інформації).

Авіакомпанії "Аерофлот", "Росія" та "Побєда", що входять до однієї групи, скасували понад 100 рейсів. Як пише російський Коммерсант, перевізник скасував 54 парні рейси, тоді як 206 з 260 запланованих рейсів готуються до виконання.

Атака на Росреестр

На початку січня цього року хакери Silent Crow атакували Федеральну службу державної реєстрації, кадастру та картографії РФ (Росреестр). У своєму Telegram-каналі група опублікувала файл обсягом 44,7 гігабайта, який містив понад 82 мільйони рядків. За словами самих хакерів, у документі були персональні дані всіх громадян РФ.

Одними з перших витік даних помітили в Telegram-каналі Data1eaks. Вони звернули увагу, що дані у файлі актуальні на березень 2024 року.

Йдеться, зокрема, про імена, дати народження, адреси, номери телефонів, електронні адреси, номери SNILS (аналогічні номерам соціального страхування) та ідентифікаційні номери Росреестра російських громадян.

Згодом видання Агентство перевірило 15 випадково обраних записів і підтвердило, що зазначені в них особи справді існують. У деяких випадках адреси нерухомості збігалися з фактичними адресами проживання.

У самій установі факт витоку не підтвердили, заявивши лише, що проводиться "додаткова перевірка" у зв’язку з інформацією, яка поширюється в Telegram. Натомість у Silent Crow назвали цей інцидент прикладом того, як великі державні структури можуть «впасти за кілька днів.

Злам Ростелекому

Уже 21 січня Silent Crow провели ще одну атаку – цього разу на російського телеком-гіганта Ростелеком. З бази даних були викрадені 154 тис. email-адрес і 101 тис. номерів телефонів російських користувачів.

Хакери як доказ опублікували таблиці з даними користувачів, які зверталися через форму зворотного зв’язку на сайті. Усі записи датовані 20 вересня 2024 року. За даними Data1eaks, група отримала доступ як до звернень громадян, так і до бази користувачів порталу державних закупівель, що належить Ростелекому.

У компанії факт витоку визнали, але відповідальність переклали на "інфраструктуру одного з підрядників".

Також серед інших заявлених цілей групи – Департамент інформаційних технологій Москви, Kia Russia та Альфа-банк, який є найбільшим приватним банком Росії.

Хто такі Silent Crow?

Telegram-канал, через який група публікує всі свої заяви, був створений лише наприкінці грудня 2024 року. Про своє походження Silent Crow офіційно не повідомляла, і жодна державна структура поки не встановила їхнє точне місцезнаходження.

Наразі група позиціонує себе як проукраїнські хактивісти, які діють проти Росії та її союзників. Їх вирізняє стиль, характерний саме для хактивістських, а не кримінальних або державних APT-груп: вони не вимагають викупу, діють публічно і викладають здобуту інформацію у відкритий доступ. Це свідомий інформаційний тиск, а не спроба наживи.

Останнім прикладом їхньої активності стала атака на "Аерофлот", проведена спільно з білоруською групою Cyber Partisans. Це може свідчити про координацію дій між регіональними хактивістськими спільнотами.

Також читайте: Хто перемагає в російсько-українській кібервійні і чи можливі вибори в "Дії"? Інтерв'ю з "білим хакером"

Нагадаємо:

Російська авіакомпанія "Аерофлот" зранку 28 липня скасовувала майже 50 рейсів через збій в роботі інформаційних систем. Проукраїнські хакери Silent Crow та "Кіберпартизани BY" заявили, що причетні до цього.