Аэрофлот. Как экономия приводит к убыткам

Небольшой дисклеймер: Это не Аэрофлот такие плохие, так устроено почти везде, особенно в гос и окологос.

Вчера произошла кульминация продолжительной и масштабной операции, в результате которой была полностью скомпрометирована и уничтожена ЧАСТЬ внутренней IT-инфраструктуры «Аэрофлот — российские авиалинии».

Что предварительно произошло:

В качестве контроллера домена в Аэрофлоте стоял неактивированный Windows Server 2016 (2 скрин), развернутый на одной из самых дешевых платформ управления виртуализацией zVirt. Выстраивали всю инфраструктуру самые высококачественные и высокооплачиваемые специалисты, соответствующей квалификации (1 скрин, Кулклевер спецом оставил), сервера были даже с доступом в интернет (2 скрин). Эта команда хорошо поработала над минимизацией рисков выполнения производственного плана полётов. Риск выполнить план теперь очень низкий.

Группировка получила доступ к iLO-интерфейсам (интерфейс управления, мозги сервера), кластерам Proxmox, гипервизорам, инсталляциям виртуализации ZVIRT. По факту, получили доступ к управлению частью или даже всей инфраструктуры. По их заявлениям они в сети находились уже год, по слухам, об этом даже кто-то знал и ничего не сделал. Но группировка может специально указать больший срок, чтобы максимально скомпрометировать бэкапы и пришлось откатывать максимально далеко (да и есть ли бэкапы от 23 года вообще… а есть ли бэкапы вообще?). Злоумышленники скачали данные и снесли сеть.

Из того что известно, тому, к чему получили доступ можно поставить свечки. Получив доступ к iLo можно было залить вместо BIOS и firmware мусор и железо превратиться именно в железо. Часть сети снесли, если даже бэкапы есть и их не снесли, вопрос во времени сохранения бэкапа. Если они проникли в сеть год назад, то год как система была скомпрометирована. Значит, злоумышленники могут все повторить. Плюсом, для расследования нельзя так быстро освободить сервера, иначе можно словить все то же самое еще раз, что будет хуже простоя.

Безопасность обеспечивали: Bi.Zone, РТК Солар и скорее всего еще куча мелких контор. Недавно подписались с Бастионом, но они там ничего не могли еще успеть сделать. Из этих контор нас интересует Солар, так как он является Ростелекомовской дочкой и собирается на IPO. Они являются архитектором комплексной кибербезопасности и судя по всему они ее организовывали в аэрофлоте. Сначала была мысль, что все устроил «Внутренний нарушитель» как в одном кейсе от 23 года, но потом я увидел доступ в интернет и понял, что там могло быть все что угодно. И на это должен был отработать Solar DOZOR (инфы что стоял именно он нет, это предположение), так как злоумышленникам удалось
Скопировать данные с серверов прослушки, включая аудиозаписи телефонных разговоров и перехваченные коммуникации. Извлечь данные из систем наблюдения и контроля за персоналом.

И если система не реагировала на действия нарушителей, то как она пропустила выкачанные 22 ТБ данных, я вообще не понимаю, тем более часть данных угнали именно с нее. В любом случае, Солар понес большой репутационный ущерб в преддверии IPO.
Аэрофлот:
— Выбило 50 парных рейсов (убыток 250-400 млн в день), 500 летают
— Победа и Россия летают
— Грядет переделка всей инфраструктуры, построение нормального SOC и еще куча всего
— Если они восстановят все до минимальной работоспособности месяца за 2, этим людям можно будет ставить памятник, возможно они как то операционно смогут решить проблему.

Во всей этой ситуации все ломанулись сразу в Позитив, да, они может и получат новых контрактов, но суть проблемы скорее в операционных системах, так что тут скорее стоит посмотреть в сторону Астры, тк от Солара никто не откажется (так устроен рынок), а инфраструктуру будут менять целиком и после такого громкого кейса не только в Аэрофлоте.


С уважением!
t.me/MarketPENA