Rosyjskie linie lotnicze Aerofłot padły ofiarą zmasowanego cyberataku, który sparaliżował ich systemy informatyczne, prowadząc do odwołania ponad 100 lotów i chaosu na moskiewskim lotnisku Szeremietiewo. Do ataku przyznała się prorosyjska grupa hakerska Cichy Kruk we współpracy z białoruskimi Cyberpartyzantami, grożąc ujawnieniem danych milionów pasażerów. Kreml nazwał sytuację „alarmującą”, a rosyjska prokuratura wszczęła śledztwo.
28 lipca 2025 roku rosyjski narodowy przewoźnik Aerofłot doświadczył bezprecedensowego cyberataku, który sparaliżował jego systemy informatyczne, doprowadzając do odwołania ponad 100 lotów i opóźnień wielu kolejnych. Incydent, który rozpoczął się w poniedziałkowe godziny poranne, wywołał chaos na moskiewskim lotnisku Szeremietiewo, gdzie tysiące pasażerów musiało opuścić terminale i odebrać nadane bagaże.
Kreml, w reakcji na incydent, określił sytuację jako „alarmującą”. Rzecznik Dmitrij Pieskow podczas konferencji prasowej podkreślił, że rosyjskie władze podejmą wszelkie działania, by wyjaśnić przyczyny i skutki ataku. Rosyjska prokuratura wszczęła śledztwo na podstawie artykułu 272 Kodeksu Karnego Federacji Rosyjskiej, dotyczącego nieuprawnionego dostępu do informacji komputerowych.
Hakerzy ujawniają się
Odpowiedzialność za cyberatak na Aerofłot wzięła na siebie prorosyjska grupa hakerska Cichy Kruk (Silent Crow), działająca we współpracy z białoruską grupą Cyberpartyzanci (Cyber Partisans BY). W oświadczeniu opublikowanym na kanałach społecznościowych hakerzy poinformowali, że przygotowywali atak przez niemal rok, uzyskując dostęp do sieci korporacyjnej Aerofłotu i przejmując kontrolę nad kluczowymi systemami, w tym bazami danych, wewnętrzną pocztą i komputerami kierownictwa. Grupa twierdzi, że skradła 22 terabajty danych, w tym historie lotów, nagrania rozmów pracowników i dane pasażerów, grożąc ich upublicznieniem.
Cichy Kruk zakończył swoje oświadczenie hasłem „Chwała Ukrainie! Niech żyje Białoruś!”, nadając atakowi wyraźny kontekst polityczny związany z rosyjską agresją na Ukrainę i represjami na Białorusi. Cyberpartyzanci, aktywni od 2020 roku w walce z reżimem Aleksandra Łukaszenki, mają doświadczenie w przeprowadzaniu operacji takich jak „Upał” w 2021 roku, która ujawniła dane białoruskich służb bezpieczeństwa. Współpraca obu grup wskazuje na skoordynowane działania haktywistyczne, mające na celu destabilizację rosyjskiej infrastruktury.
Przewoźnik reaguje
Pomimo powagi sytuacji, Aerofłot podjął działania mające na celu ograniczenie skutków cyberataku. We wtorek, 29 lipca 2025 roku, przewoźnik poinformował, że 93% zaplanowanych lotów z Moskwy powinno odbyć się zgodnie z harmonogramem, a rozkład lotów stopniowo wraca do normy. Jednak poranne zakłócenia były znaczące – odwołano 53 rejsy, w tym 22 z Szeremietiewa i 31 w kierunku Moskwy. Pasażerowie zostali przebukowani na loty spółek zależnych, Rossiya i Pobeda, lub otrzymali możliwość zwrotu pieniędzy za bilety.
Aerofłot w oficjalnych komunikatach unikał określenia „cyberatak”, opisując incydent jako „awarię systemów informatycznych”. Trwają prace nad przywróceniem pełnej funkcjonalności systemów, w tym platform rezerwacyjnych Sabre, CRM, ERP i SharePoint, które według hakerów zostały zniszczone lub skompromitowane. Rosyjskie źródła, cytowane przez agencję Interfax, szacują straty przewoźnika na co najmniej 250 milionów rubli (11,2 miliona złotych) za jeden dzień przestoju, nie licząc kosztów odbudowy infrastruktury IT, które mogą sięgnąć dziesiątek milionów dolarów.
Cyberatak jako element wojny hybrydowej?
Cyberatak na Aerofłot wpisuje się w szerszy kontekst wojny hybrydowej, w której cyberprzestrzeń staje się kluczowym polem walki. Rosyjska prokuratura, wszczynając śledztwo, potwierdziła, że przyczyną awarii był atak hakerski, co wskazuje na uznanie incydentu za poważne zagrożenie dla bezpieczeństwa narodowego. Analitycy, tacy jak Michaił Klimarew cytowany przez „Nową Gazietę”, zwracają uwagę, że takie działania mają na celu nie tylko zakłócenie codziennego funkcjonowania obywateli, ale także wywołanie chaosu wewnętrznego i osłabienie morale społeczeństwa oraz armii rosyjskiej w kontekście trwającego konfliktu w Ukrainie.
Hakerzy z Cichego Kruka i Cyberpartyzantów jasno wskazują na polityczne motywy ataku, żądając od Rosji zakończenia inwazji na Ukrainę i represji na Białorusi. Ich działania, takie jak groźba publikacji danych pasażerów, mogą dodatkowo podsycać niepokój społeczny.
Eksperci, cytowani przez Reutersa, zauważają, że podobne ataki na rosyjską infrastrukturę lotniczą, np. na system rezerwacyjny Leonardo w 2023 roku, miały mniejszy zasięg, ale obecny incydent pokazuje eskalację zdolności haktywistycznych.
Aerofłot w cieniu sankcji
Mimo międzynarodowych sankcji nałożonych na Rosję po inwazji na Ukrainę w 2022 roku, Aerofłot pozostaje jednym z największych przewoźników lotniczych na świecie, obsługując w 2024 roku 55,3 miliona pasażerów – o 17% więcej niż w 2023 roku. Jak przypomina Reuters, rosyjski rynek lotniczy jest jednym z najbardziej rozwiniętych, z siatką połączeń obejmującą 248 tras Aerofłotu i Rossiya oraz 94 trasy Pobedy. Przychody grupy w 2023 roku wyniosły 856 miliardów rubli (38 miliardów złotych), a zysk netto osiągnął 50 miliardów rubli (2,2 miliarda złotych), co było pierwszym dodatnim wynikiem od 2019 roku.
Sankcje znacząco ograniczyły działalność Aerofłotu na rynkach międzynarodowych, zmuszając przewoźnika do skupienia się na lotach krajowych i trasach do krajów nieobjętych restrykcjami, takich jak Białoruś, Armenia czy Uzbekistan. Utrudniony dostęp do części zamiennych dla zachodnich samolotów i problemy z serwisem floty dodatkowo komplikują działalność. Cyberatak, który sparaliżował operacje na kilkunastu lotniskach, ujawnił, jak dotkliwe mogą być zakłócenia dla tego giganta. Straty wizerunkowe, finansowe i logistyczne mogą mieć dalekosiężne skutki dla rosyjskiego transportu lotniczego.
Źródło: PAP
