Три громких удара за полгода: что известно о хакерах, которые парализовали "Аэрофлот"

Хакерская группа Silent Crow совместно с "Киберпартизаны BY" 28 июля взломала внутреннюю ИТ-инфраструктуру "Аэрофлота" и уничтожила около семи тысяч физических и виртуальных серверов.

Для Silent Crow это уже третья громкая атака на учреждения РФ в 2025 году. Группа, которая публично заявила о себе в начале этого года, демонстрирует значительные результаты в нанесении вреда России в киберпространстве.

ЭП собрала предыдущие атаки Silent Crow, которые предшествовали параличу "Аэрофлота", и рассказывает о них ниже.

Атака на "Аэрофлот"

По словам самих хакеров, они находились внутри корпоративной сети крупнейшей российской авиакомпании в течение года. В результате им удалось выгрузить полную базу данных истории перелетов, скомпрометировать критические корпоративные системы и получить контроль над компьютерами сотрудников, включая руководство компании.

В Silent Crow отметили, что было уничтожено около 7 тыс. серверов: физических и виртуальных. Объем полученной информации составляет 12 ТБ баз данных, 8 ТБ файлов из Windows Share и 2 ТБ корпоративной почты. По оценкам хакеров, восстановление систем может стоить десятки миллионов долларов, а убытки носят стратегический характер для самой компании.

Генпрокуратура России подтвердила, что причиной сбоя стала хакерская атака. Возбуждено уголовное дело по признакам преступления, предусмотренного частью 4 статьи 272 УК РФ (неправомерный доступ к компьютерной информации).

Авиакомпании "Аэрофлот", "Россия" и "Победа", входящие в одну группу, отменили более 100 рейсов. Как пишет российский Коммерсант, перевозчик отменил 54 парных рейса, тогда как 206 из 260 запланированных рейсов готовятся к выполнению.

Атака на Росреестр

В начале января этого года хакеры Silent Crow атаковали Федеральную службу государственной регистрации, кадастра и картографии РФ (Росреестр). В своем Telegram-канале группа опубликовала файл объемом 44,7 гигабайта, который содержал более 82 миллионов строк. По словам самих хакеров, в документе были персональные данные всех граждан РФ.

Одними из первых утечку данных заметили в Telegram-канале Data1eaks. Они обратили внимание, что данные в файле актуальны на март 2024 года.

Речь идет, в частности, об именах, датах рождения, адресах, номерах телефонов, электронных адресах, номерах SNILS (аналогичные номерам социального страхования) и идентификационных номерах Росреестра российских граждан.

Впоследствии издание Агентство проверило 15 случайно выбранных записей и подтвердило, что указанные в них лица действительно существуют. В некоторых случаях адреса недвижимости совпадали с фактическими адресами проживания.

В самом учреждении факт утечки не подтвердили, заявив лишь, что проводится "дополнительная проверка" в связи с информацией, которая распространяется в Telegram. Зато в Silent Crow назвали этот инцидент примером того, как крупные государственные структуры могут "упасть за несколько дней.

Взлом Ростелекома

Уже 21 января Silent Crow провели еще одну атаку - на этот раз на российского телеком-гиганта Ростелеком. Из базы данных были похищены 154 тыс. email-адресов и 101 тыс. номеров телефонов российских пользователей.

Хакеры в качестве доказательства опубликовали таблицы с данными пользователей, которые обращались через форму обратной связи на сайте. Все записи датированы 20 сентября 2024 года. По данным Data1eaks, группа получила доступ как к обращениям граждан, так и к базе пользователей портала государственных закупок, принадлежащего Ростелекому.

В компании факт утечки признали, но ответственность переложили на "инфраструктуру одного из подрядчиков".

Также среди других заявленных целей группы - Департамент информационных технологий Москвы, Kia Russia и Альфа-банк, который является крупнейшим частным банком России.

Кто такие Silent Crow?

Telegram-канал, через который группа публикует все свои заявления, был создан только в конце декабря 2024 года. О своем происхождении Silent Crow официально не сообщала, и ни одна государственная структура пока не установила их точное местонахождение.

Сейчас группа позиционирует себя как проукраинские хактивисты, которые действуют против России и ее союзников. Их отличает стиль, характерный именно для хактивистских, а не криминальных или государственных APT-групп: они не требуют выкупа, действуют публично и выкладывают добытую информацию в открытый доступ. Это сознательное информационное давление, а не попытка наживы.

Последним примером их активности стала атака на "Аэрофлот", проведенная совместно с белорусской группой Cyber Partisans. Это может свидетельствовать о координации действий между региональными хактивистскими сообществами.

Также читайте: Кто побеждает в российско-украинской кибервойне и возможны ли выборы в "Дії"? Интервью с "белым хакером"

Напомним:

Российская авиакомпания "Аэрофлот" утром 28 июля отменяла почти 50 рейсов из-за сбоя в работе информационных систем. Проукраинские хакеры Silent Crow и "Киберпартизаны BY" заявили, что причастны к этому.