L'esperto racconta come è stato possibile proteggere i database hackerati di Aeroflot

Maria SokolovaAndrey Krasnobaev

Il giorno prima, la più grande compagnia aerea russa, Aeroflot, era stata costretta a sospendere i voli e cancellarne 53, lasciando le persone bloccate negli aeroporti. Tutti erano inorriditi, ma quello era solo l'inizio.

Le successive vittime degli attacchi hacker furono le catene di farmacie Stolichki e Neopharm. Il lavoro di molti fu paralizzato. Le persone non potevano né acquistare medicinali né effettuare ordini.

Successivamente, sono emerse informazioni secondo cui degli hacker avrebbero attaccato i sistemi interni della rete della clinica del Medico di Famiglia e distrutto il database dei pazienti. Tuttavia, i rappresentanti della clinica hanno negato l'attacco informatico. Inoltre, le voci secondo cui i malfunzionamenti delle Poste Russe sarebbero stati causati da hacker non sono ancora state confermate. Chi ha ragione e chi sta speculando, non è più chiaro.

Vale la pena ricordare che a metà luglio la catena di negozi Vinlab è stata vittima di un attacco informatico e di un attacco hacker. Secondo Forbes, le perdite della catena dovute ai tempi di inattività potrebbero superare il miliardo di rubli.

I russi non hanno mai assistito ad attacchi informatici così frequenti e massicci. Cosa succederebbe se Gazprom, le Ferrovie Russe, Rosseti, EMIAS o altri sistemi vitali venissero hackerati?

Dopo l'attacco e la sospensione dei voli, il gruppo hacker bielorusso Cyberpartisans (riconosciuto come organizzazione terroristica ed estremista in Bielorussia) e il gruppo Silent Crow hanno rivendicato la responsabilità del crimine. Hanno dichiarato apertamente i loro crimini informatici. I Cyberpartisans hanno persino un loro sito web, dove hanno raccontato l'attacco ad Aeroflot.

Silent Crow era attivo nel 2025. Hanno hackerato i database di Rosreestr, Rostelecom e del governo di Mosca.

Se dovessimo credere alle dichiarazioni di Cyberpartisans, Aeroflot avrebbe subito danni ingenti: avrebbe distrutto oltre 7.000 server e postazioni di lavoro, cancellato database, scaricato numerosi dati, tra cui intercettazioni telefoniche dei dipendenti, e scaricato la cronologia dei voli. È così che gli hacker di Silent Crow descrivono i loro "successi".

— Il volume di informazioni ricevute è pari a 12 TB di database, 8 TB di file di Windows Share, 2 TB di posta aziendale. Tutte queste risorse sono ora inaccessibili o distrutte e il ripristino richiederà, probabilmente, decine di milioni di dollari. Il danno è strategico.

Secondo gli hacker, sarebbero riusciti a penetrare nei più importanti sistemi informativi interni di Aeroflot.

"Hanno cancellato i database e i sistemi informativi di CREW, Sabre, Sharepoint, Exchange, KASUD, Sirax, Sophie, CRM, ERP, 1C, i sistemi di sicurezza e altri elementi della struttura della rete aziendale di Aeroflot", hanno riferito gli aggressori.

Tuttavia, il fatto che la compagnia aerea abbia annunciato ufficialmente la stabilizzazione delle sue operazioni martedì suggerisce che gli hacker non sono riusciti a ottenere molto successo.

Ad esempio, il sistema di prenotazione automatizzato Sabre, che secondo quanto riferito era stato hackerato dai criminali, ha smesso di collaborare con Aeroflot nel 2022.

La rivista online "Kod" ha analizzato la dichiarazione del gruppo di hacker del giorno prima ed è giunta alla conclusione che gli aggressori hanno segnalato l'attacco ai sistemi di gestione documentale e di contabilità finanziaria dell'azienda, che comporterà sicuramente gravi perdite, ma difficilmente inciderà sulla sicurezza dei voli Aeroflot.

Novye Izvestia ha parlato con Oleg Chirukhin , esperto nel campo della sicurezza informatica e dipendente di una delle più grandi aziende russe, di come Aeroflot abbia potuto perdere i suoi server e sistemi informatici.

Secondo l'esperto, i sistemi informatici di Aeroflot sono stati vittima di un attacco informatico APT (Advanced Persistent Threat). Questo termine di sicurezza informatica indica un attacco informatico nascosto e a lungo termine a un sistema informatico, in cui gli aggressori ottengono e mantengono l'accesso non autorizzato alla rete, rimanendo inosservati per lungo tempo.

"Gli hacker prendono gradualmente il controllo di tutte le risorse informatiche di un'organizzazione, ma non ne bloccano il lavoro, bensì copiano i dati, studiano la struttura della sicurezza informatica dell'organizzazione per paralizzarne il lavoro al momento giusto. Questo è uno dei metodi di attacco informatico più costosi e complessi del nostro tempo, ma anche uno dei più efficaci per i criminali", afferma Oleg Chirukhin.

— Oleg, la sicurezza informatica di Aeroflot avrebbe potuto prevenire un attacco di questa portata?

— In teoria, sì, avrebbero potuto fermarlo. È possibile, ma difficile. In parole povere, la cosa principale è non far entrare i malintenzionati nel primo perimetro di sicurezza, quello più protetto. Di solito, si costruisce un perimetro "condizionatamente sicuro" e il resto della vita informatica dell'azienda si basa sul presupposto che nessuno possa facilmente superarlo. Sembra che Aeroflot avesse qualcosa del genere, e lì, all'interno del perimetro di sicurezza, risiedevano i vecchi Windows, 1C e altri sistemi di contabilità e controllo finanziario e delle risorse. Tutti questi sistemi non si difendono da soli, funzionano partendo dal presupposto che il circuito principale sia inaccessibile.

Organizzare la sicurezza in questo modo non è la soluzione migliore. Ma è la più semplice ed economica.

Immaginate che Aeroflot sia un cavaliere convenzionale che custodisce oro, dati sui servi e così via nel suo castello. Il castello può avere le mura più alte e gli arcieri più precisi, ma se il cavaliere perde il controllo delle porte del castello, aspettatevi guai.

— E il nostro cavaliere, Aeroflot, ha perso il controllo del “suo castello”?

— Non abbiamo dati sufficienti per affermarlo con certezza. Ma se gli hacker affermano di aver preso il controllo dei pannelli di amministrazione del centro di scambio dati, allora possiamo supporre che i criminali non controllassero solo le "porte del castello", ma anche gli arcieri sulle mura e i monaci nei sotterranei che emettono certificati e oro. In altre parole, avrebbero potuto controllare qualsiasi processo all'interno del sistema informativo aziendale per molto tempo.

— Come hanno fatto gli hacker a ottenere un tale successo nell'attaccare Aeroflot?

— Le opzioni potrebbero essere molteplici. Il punto di penetrazione potrebbe essere stato un frammento di "codice open source" infetto che gli sviluppatori dell'azienda non hanno controllato adeguatamente prima di implementarlo nei loro sistemi.

Come funziona? Gli hacker, fingendosi semplici sviluppatori, scrivono codice condizionalmente utile per il lavoro, che pubblicano in libero accesso sui portali dove gli sviluppatori comunicano. Lo scambio di "codice aperto" è una pratica comune nell'IT in tutto il mondo.

Ma dovresti sempre controllare quali funzioni ha incluso l'autore del codice e se ci sono funzionalità nascoste che il malintenzionato potrebbe usare per penetrare "nel tuo castello" in seguito. A volte questo aspetto viene trascurato, per dimenticanza o intenzionalmente, quando, ad esempio, un agente viene introdotto in un'azienda.

— Quindi potrebbe esserci stata una spia che lavorava nell'azienda?

— Un agente esterno al dipartimento di sicurezza informatica, soprattutto con un elevato livello di accesso, può assumere il controllo completo dei sistemi informativi dell'organizzazione. Pertanto, su tali specialisti esiste un controllo speciale, oltre a verificare reciprocamente il lavoro svolto, chi esegue quali azioni di "basso livello" che gli utenti comuni non vedono. Tuttavia, non si può mai garantire al 100% di contrastare le fughe di dati.

— Esiste un modo per garantire la protezione dei sistemi informativi critici per la società e lo Stato, come quelli di Aeroflot, delle Ferrovie Russe o di Gazprom?

— Non so come sia organizzata la sicurezza informatica in Aeroflot, ma in linea di massima ci sono due approcci per organizzare la difesa informatica nelle aziende: uno obsoleto e uno moderno.

Ho fatto un esempio obsoleto, con il castello di un cavaliere, dove il sistema presenta due stati: "Tutto è sotto controllo assoluto" e "Tutto è rotto, tutto è rubato". Non ci sono stati intermedi nel circuito di sicurezza. Allo stesso tempo, le tecnologie di attacco stanno migliorando e i nemici continueranno a penetrare nel castello: a bordo di una mongolfiera, scavando o in un barile di miele. È impossibile prevedere tutte le mosse degli aggressori. E se si piazza la guardia più severa a ogni varco e si controllano i documenti a ogni incrocio, la vita degli abitanti del castello sarà paralizzata da controlli infiniti.

In un sistema informativo moderno, non è possibile complicare all'infinito l'accesso. Sono i dipendenti stessi a dover ridurre le misure di sicurezza per riuscire almeno a svolgere il loro lavoro principale.

— E cosa dovremmo fare per garantire che la produttività del lavoro non diminuisca, ma che la sicurezza venga preservata?

— Questo non è tanto un problema tecnico quanto organizzativo e filosofico. Devi sperimentare e vivere questa idea nella tua anima: hai sistemi che si romperanno – e si romperanno, qualunque cosa tu faccia. È un dato di fatto!

E poi pensate alle opzioni di backup per tutti questi casi. L'approccio moderno prevede diversi profili di sicurezza. Ad esempio, un profilo con dati personali e informazioni critiche, dove non c'è alcuna comodità per gli utenti, ma c'è la massima sicurezza.

E per tutto il resto, l'infrastruttura deve essere tale da "ripararsi" automaticamente in caso di attacchi, estraendo dati dai backup e così via. Una parte della rete viene hackerata, e Dio la benedica. Tutto viene immediatamente ricreato da zero, automaticamente, secondo la descrizione. Esistono diversi strumenti per questo, ad esempio infrastrutture cloud basate su Kubernetes e Helm.

La questione riguarda la volontà delle nostre aziende di abbandonare la mentalità dell'inizio del XXI secolo per adattarsi al mondo moderno. Altrimenti, tutto dovrà essere ripristinato nel corso di mesi di duro lavoro, giorno e notte, senza fine settimana o festività.