Аэрофлот потерял все данные, а как можно было избежать?

28 июля 2025 года хакеры Silent Crow и CyberPartisans BY уничтожили IT-инфраструктуру Аэрофлота. За несколько часов сгорело 7000 серверов, 122 гипервизора и 43 установки ZVIRT. Атакующие сидели в системах ровно год — с 28 июля 2024 года. Они изучили топологию сети и получили административные привилегии на всех уровнях виртуализации. Перед уничтожением хакеры выкачали 22 терабайта данных: 12 ТБ баз данных с историей полётов, 8 ТБ из Windows-шар и 2 ТБ корпоративной почты.

Критические системы авиакомпании рухнули: CREW (управления экипажами) и Sabre (система бронирования билетов) мертвы. Злоумышленники убили 100 интерфейсов iLO (удалённое управление физическими серверами HP) и четыре кластера Proxmox (платформа виртуализации с открытым кодом).

Аэрофлот использовал стандартные бэкапы. Хакеры уничтожили их вместе с основными системами. А вот как надо было хранить.

Хакеры удаляют обычные бэкапы через взломанные админские аккаунты. Одно из спасений – физически сделать удаление невозможным, например использовать WORM (Write Once, Read Many) диски. WORM диски записывают данные один раз. используются оптические диски как в s3 или специальные ленты — перезаписать физически невозможно. А программный WORM блокирует изменения через файловую систему:

Яндекс Object Storage и Selectel Cloud Storage поддерживают WORM-режим — удалить данные не может даже владелец аккаунта. Главное — заблокировать изменение политик хранения на весь срок.

WORM справляется и со 100 ТБ данных и стоит как 4 билета в бизнес классе - 400-700 т.р, или 120-180к руб в месяц на яндекс облаке или селектеле.

Мы можем блокировать входящий трафик и разрешать только исходяцию репликацию. Логический air-gap режет сетевые соединения правилами firewall.

PostgreSQL streaming replication копирует данные между регионами. Но если регионы используют общие админские аккаунты — хакеры убьют все копии разом. Поэтому каждый регион получает свой Certificate Authority. Регионы используют разные LDAP, разные облачные аккаунты, разные сети. Компрометация одного региона не затронет другие. Еще круче, когда только C-Level или один ЛПР знает об этой БД и может даже держит у себя "дома", без афиширования этой информации и с удаленными логами о бекапе на основных серверах.

Обычное восстановление предполагает безопасность бэкап-систем. Zero-trust считает все системы скомпрометированными.

Используем FIDO2 токены вместо паролей, через ABAC контролируем доступ по множеству параметров и отслеживаем аномалии в поведении через UEBA, а через блокчейн проверяем целостность бэкапов.

В 2017 году NotPetya сжёг IT-инфраструктуру Maersk. За часы вирус убил 49 000 устройств: 4000 серверов и 45 000 компьютеров. Компанию спас один сервер в Гане — он был офлайн из-за отключения электричества.

Maersk потерял $300 миллионов, но хоть часть данных осталась

Аэрофлот показал, что хакеры могут парализовать и почти уничтожить компании, работающие десятки лет. Не стоит экономить на защите. и нужно делать бэкапы, которые даже владелец не сможет удалить. Все затраты – мелочи, но именно на них компания сегодня выживает.

Каждое решение требует знаний в области дата инжиниринга инфобеза – если интересно узнать о защите систем и о базах данных подробнее, ставьте лайки и я напишу новые статьи.