«Конечно, мы спекулируем». Хакерам удалось взломать «Аэрофлот», но в чем вообще смысл этой атаки? И почему пассажиры до сих пор, вероятно, в опасности? Отвечают сами хакеры из группировки «Киберпартизаны»
На этой неделе IT-инфраструктура «Аэрофлота» подверглась хакерской атаке, результатом которой стал крупнейший технический сбой за всю историю компании. Ответственность за атаку взяли группировки Silent Crow из Украины и «Киберпартизаны» из Беларуси. Из-за взлома были отменены больше ста рейсов, а ущерб «Аэрофлоту» оценивается в сотни миллионов рублей. «Медуза» поговорила с пресс-секретарем «Киберпартизан» Юлианой Шеметовец об эффективности кибервойны и том, была ли хакерская атака безопасной для пассажиров авиакомпании.
— Какая была основная цель у взлома? «Аэрофлот», занимающийся гражданскими перевозками, и гражданские аэропорты кажутся не самыми очевидными целями. Почему именно «Аэрофлот»? И как вы выбираете объекты для кибератаки?
— Эта операция была проведена «Киберпартизанами» в партнерстве с украинской группой Silent Crow. Выбор также был сделан совместно с ней.
Россия использовала территорию и воздушное пространство Беларуси для нападения на Украину, до сих пор проводит в стране учения, сотрудничает с белорусскими военными и спецслужбами — в принципе, проводит похожую империалистическую политику по отношению к Беларуси. Не на том же уровне, как с Украиной, это даже сравнивать нельзя, но тем не менее. Мы белорусская группа, поэтому для нас это важный фактор.
Все эти факторы сложились. В том числе с моральной точки зрения, потому что российская машина, российские граждане, военные убивают украинцев. Целью может стать любая компания, которая сотрудничает с российским режимом и помогает военно-промышленному комплексу.
«Аэрофлот» — это госкомпания, у нее есть множество контрактов с официальными российскими структурами, они также известны перевозкой военных, «вагнеров», эсвэошников и помощью в перевозке военной техники.
— Как вы оцениваете ущерб компании? Уже на следующий день рейсы возобновились, всего их было отменено около 150 — это не больше, чем из-за регулярных атак дронов.
— Мы в принципе ожидали, что они попытаются восстановить перелеты в первую очередь. Группа не атаковала авиационную безопасность, мы не хотели повлиять на перелеты и создать опасную ситуацию. Это разные системы.
Атака была на корпоративную сеть, которая не напрямую, понятное дело, тоже повлияла на перелеты. Мы видели, что в понедельник, когда было объявлено об атаке, практически все рейсы были отменены, люди оставались в аэропортах. Конечно, сейчас все восстанавливается, в принципе есть возможность пересчитывать перелеты буквально на бумажке.
Компания уже несет убытки, и будет еще больше. Им важнее сохранить лицо, что логично для государственной компании, компании режима, но это все равно будет влиять на их финансы, на то, как им приходится покрывать убытки и латать дыры. Не все системы и данные восстановлены полностью, это также будет влиять на цены билетов. Для нас важно уже то, что, по экспертным мнениям, компания за один день понесла убытки в десятки миллионов долларов. И это большое достижение, ведь эти деньги пойдут на восстановление систем, а не на военные цели.
— Вы сказали, что компании придется восстанавливать множество данных. Что это за данные?
— «Киберпартизаны» и Silent Crow в первую очередь атаковали корпоративную сеть, поэтому все данные, которые там находились, были либо повреждены, либо полностью удалены, либо частично затерты. Были также удалены бэкапы, не во всех базах данных были резервные копии. Восстановление займет какое-то время, что-то восстановить будет просто невозможно.
Данные, о которых мы говорим, это данные на компьютерах сотрудников: почта, переписки, документация, все, что связано с бухгалтерией и перелетами, бронированием билетов.
— В совместном с Silent Crow заявлении вы пишете, что «хакеры не хотели подвергать риску пассажиров „Аэрофлота“», но при этом не советуете пользоваться услугами авиакомпании. Почему?
— Учитывая паническую ситуацию, внутри системы в таких условиях есть риск человеческой ошибки. Люди в стрессе могут неправильно рассчитать перелет или что-то не то передать диспетчерам. У меня нет достоверной информации на этот счет. Конечно, мы просто спекулируем.
Но тем не менее мы понимаем, что в таких условиях, особенно в ситуации, когда российский режим будет, как обычно, искать крота, то есть того, кто сдал пароли и доступ к системам, люди в стрессе могут совершать ошибки. Если они будут совершать ошибки, это будет не наша ответственность.
Тем не менее наша задача предупредить людей, что все это будет восстанавливаться, пока они будут пытаться выяснить, кто и что сделал. Мы предполагаем, что несколько месяцев будет летать небезопасно, поэтому лишний раз лучше не рисковать. И опять-таки призываем не поддерживать госкомпанию.
— Это немного противоречит тому, что вы сказали. Получается, вы перекладываете ответственность на людей, которые будут допускать ошибки в результате сбоя, хотя первоначальной причиной была хакерская атака? Или я не так понял?
— Смотрите, идет война. Не бывает так, чтобы одна страна шла в другую страну, убивала людей и при этом граждане страны, которая убивает, думали, что это никак не повлияет на их жизнь. Естественно, это влияет: дроны залетают, территории тоже подвергаются обстрелам. Понятно, что будут атаки на государственные компании, кибератаки, такие же, как когда и россияне атакуют, когда планируют военные действия. Это цена войны, это условия, в которых граждане живут.
Тем не менее мы всегда стараемся не подвергать риску жизни обычных людей, гражданских, поэтому предупреждаем обо всех последствиях. Не может быть комфортной жизни, когда твоя страна, когда граждане твоей страны убивают соседей. Поэтому это реальность. Бытовая жизнь, в которой сейчас живут россияне, и они должны понимать, кто за это ответственен.
При этом мы могли бы вообще не обращать на это внимания, учитывая, как подобные атаки проводятся со стороны российских граждан.
— В заявлении вы также сказали, что выгрузили 22 терабайта информации и вскоре часть ее опубликуете. С какой целью это будет сделано? Чтобы нанести дополнительный ущерб компании?
— В первую очередь это не для ущерба компании. Мы сможем его нанести, если они, например, незаконно записывали разговоры собственных сотрудников. Это докажет, что они следят даже за теми, кто поддерживают компанию, поддерживают режим.
Вы можете проследить за деятельностью «Киберпартизан» с 2020 года: учитывая, какая чувствительная информация находится в наших руках, можно сделать вывод, как аккуратно мы к ней относимся. У нас есть определенные правила: например, если к нам обращается верифицированный журналист за информацией об обычном гражданине, который никак не связан с режимом, мы просим конкретную цель и доказательства, что они все же связаны.
То же самое и здесь. Никакого слива всех баз сразу после взлома не будет. Сначала мы проанализируем данные, а потом что-то опубликуем. Например, данные завербованных [государством] активистов. Или, например, того, что может быть связано с деятельностью непосредственно самого «Аэрофлота»: перевозки военного персонала или вооружения. Не факт, что мы найдем эти данные, я только теоретизирую. Но публикации данных обычных граждан, которые летали «Аэрофлотом», с нашей стороны точно не будет.
— Где проходит грань между этичным и неэтичным хакингом? На следующий день после сбоя в системах «Аэрофлота» появились новости о взломе сети аптек, фитнес-клубов и магазинов. Знаю, что вы не делали об этом заявлений, но как вы оцениваете: этичны ли эти атаки?
— Стоит заметить, что международных конвенций по кибератакам до сих пор нет. Есть правила ведения войны — что в обычной жизни убивать нельзя, а во время войны можно, но с определенными условиями. Что касается киберопераций, я знаю, что усилия по тому, чтобы эти правила составить, предпринимаются, но это очень тяжелый процесс, потому что в него вовлечены все страны. Будет тяжело договориться, где проходит грань.
Мы действуем в серой зоне, и я не могу отвечать за другие группы, не могу отвечать за украинские группы. У нас есть кодекс «Киберпартизан», мы ему следуем.
— В других интервью вы говорили, что доступ к выгруженным данным есть не у всех участников «Киберпартизан», а только у нескольких человек. Насколько может быть безопасна система, в которой огромным массивом персональных данных владеет небольшая группа людей? И если утечки неоднократно происходили у государственных ведомств и крупных корпораций, то каковы гарантии, что утечка не произойдет у самих хакеров?
— Конечно, такая возможность всегда есть. Мы реалистично к этому относимся и никогда не заявляем, что 100% никогда ничего не произойдет. При этом наши люди профессионалы, они понимают, как защищать данные.
У нас нет размытых бюджетов, в принципе нет бюджетов уровня госкорпораций, мы очень много собственных ресурсов вкладываем в то, чтобы иметь самые безопасные системы. Мы понимаем уровень ответственности и стараемся не быть на таком уровне профессионализма, как у госструктур.
Нашей группе в сентябре будет пять лет, и за это время никаких утечек у нас не было. Это большой срок, по которому можно судить, что система хорошо защищена. Мы всегда стараемся минимизировать риски, пересматривать протоколы и делаем все возможное, чтобы никто не получил доступ к нашим базам.
Те же самые базы есть у государства. Следовательно, какой им смысл нас атаковать? Только чтобы понять, что у нас есть. Поэтому в первую очередь мы защищаемся от других хакеров, которые могут использовать данные в личных корыстных целях.
— Защитой IT-систем «Аэрофлота» занимаются близкие к ФСБ компании, которые строили инфраструктуру на основе отечественных «суверенных» технологий. Как вы считаете, повлияло ли это на обеспечение безопасности компании, и как влияет на безопасность государственных и частных систем в России попытка перехода на отечественное ПО, системы безопасности и инфраструктуру?
— Опять же это отличная причина, почему «Аэрофлот» является законной целью. Все взаимосвязано. Удар по «Аэрофлоту» — это удар не только по режиму и бюджету, но и по таким репрессивным и карательным структурам, как ФСБ, они все в этом завязаны.
Мы видим тенденцию, что системы становятся менее безопасными, что для режима в принципе не в приоритете защита, например, персональных данных обычных граждан. У них другие цели, приоритеты по военно-промышленному комплексу, нежели помощь и постройка безопасных систем, чтобы защитить своих граждан. Это опять же посыл, который мы пытаемся донести до российских граждан. Люди должны понимать, что это ответственность режима, который не уделяет достаточного внимания, времени и бюджета безопасности.
Кроме того, в России есть огромнейшая нехватка специалистов. Люди уезжают из-за начала полномасштабной войны, из-за ухудшения политической ситуации. Эта ситуация, плюс санкции, плюс невозможность использовать технологии западного мира, невозможность обмена технологиями и знаниями — все это большой толчок назад.
Поэтому кибератаки будут только продолжаться, а данные станет получать только проще. Невозможно физически перестроить полностью всю работу за несколько лет и сохранить безопасность.
— Вы утверждаете, что находились в системе «Аэрофлота» на протяжении года. Что это значит и как это возможно? Почему кульминация взлома произошла именно сейчас, есть ли какие-то причины для этого?
— «Киберпартизаны» знают, как находиться в системах незамеченными. Мы много работали с белорусскими системами прежде, чем мы начали деятельность в России. У нас есть опыт и усидчивость, которые позволяют заниматься скучной монотонной работой и медленно продвигаться внутрь сетей. Поэтому, конечно, взлом занимает время.
В дополнение к этому, «партизаны» работают над несколькими проектами одновременно. Наш главный фокус остается на Беларуси, также у нас есть проекты, которые связаны не с атаками, а с безопасностью, анализом данных, выявлением агентуры.
Почему выбрали именно такое время? Ну, есть свои причины. Я не могу про них говорить, к сожалению.
— Как вы оцениваете вклад кибервойны и подобных хакерских атак в контексте противостояния режимам Лукашенко и Путина?
— Мы реалистично относимся к кибератакам. Понятно, что ими одними нельзя поменять ни режим Лукашенко, ни режим Путина. Чтобы достичь главной цели, работа должна проводиться в комплексе.
Тем не менее свою часть мы выполняем успешно. В Беларуси в принципе невозможно действовать на земле. Репрессивная машина сильнее, чем в России. Мы знаем, что Навальный умер в тюрьме, а в Беларуси погибло около 10 человек с 2020 года. Даже по этой статистике видно, насколько ситуация хуже. Поэтому деятельность «Киберпартизан» вдохновляет людей и показывает, что борьба продолжается, что мы поддерживаем всех, кто остается в Беларуси и не переходит на сторону режима.
Другая важная часть — выявление агентуры. Например, в России взлом Роскомнадзора помог выявить, за кем пристально следит государство. И многие российские активисты были благодарны. Они поняли, что происходит и как себя обезопасить.
Такая деятельность помогает поддерживать оппозиционные демократические силы. В совокупности она ослабляет режим, отвлекает его от военных целей, забирает часть финансов.
Кроме того, мы показываем гражданам России, какова цена войны, и спрашиваем, хотят ли они, чтобы это продолжалось. Если им все равно, что убивают украинцев, украинских детей, то, возможно, влияние на бытовую жизнь заставит задуматься, кто за этим стоит и почему это происходит.
Микита Кучински