В этом году авиационная отрасль столкнулась с ростом кибератак: от DDoS-кампаний, организованных хакерами-активистами, до утечек данных, затронувших миллионы пассажиров.
Десять наиболее значимых киберинцидентов, по данным SOCRadar, затронули авиакомпании, аэропорты и другие организации. Каждый из них выявил уязвимости во взаимосвязанных системах отрасли.
«Авиационно-космические организации являются привлекательными целями из-за сложности своей деятельности и высокой чувствительности к простоям», — рассказал Сэм Рубин, старший вице-президент по консалтингу и анализу угроз в подразделении 42 компании Palo Alto Networks, в интервью AGN.
Злоумышленники понимают, что даже кратковременные сбои могут иметь далеко идущие последствия — финансовые, логистические и репутационные. Эта срочность часто вынуждает компании действовать быстро, что делает их более уязвимыми для требований выкупа.
1. Air France-KLM
Страна: Франция/Нидерланды
Источник угрозы: Scattered Spider (предположительно)
Что произошло:
Air France и KLM обнаружили несанкционированную активность на внешней платформе обслуживания клиентов, используемой их контакт-центрами. Эта активность была оперативно пресечена благодаря сотрудничеству со сторонним поставщиком. Важно отметить, что внутренние системы авиакомпаний не были скомпрометированы.
Раскрытые данные клиентов включают имена, адреса электронной почты и номера телефонов клиентов, сведения об уровнях и номерах счетов участников Flying Blue, а также темы писем службы поддержки клиентов.
2. Утечка данных Qantas Airways — 5,7 млн клиентов (июнь–июль 2025 г.)
Страна: Австралия.
Источник угрозы: Scattered Spider (предположительно).
Что произошло:
Атака на стороннюю платформу, связанную с контактным центром Qantas, привела к утечке персональных данных 5,7 млн пассажиров. Записи содержали данные часто летающих пассажиров, адреса электронной почты и контактную информацию, но не платежные или паспортные данные.
Утечка привлекла внимание к рискам, связанным с третьими лицами, и рискам «социальной инженерии». Социальная инженерия подразумевает манипулирование людьми с целью заставить их поделиться информацией, загрузить программное обеспечение или посетить веб-сайты, которые ставят под угрозу безопасность организации.
3. Атака вируса-вымогателя на международный аэропорт Куала-Лумпура (март 2025 г.)
Страна: Малайзия.
Источник угрозы: группа вымогателей Qilin (заявлено).
Что произошло:
Атака программы-вымогателя серьёзно повлияла на работу аэропорта Куала-Лумпура, выведя системы из строя более чем на 10 часов. Злоумышленники заявили о краже 2 ТБ данных и потребовали выкуп в размере 10 миллионов долларов. Хотя ручные методы обхода запрета позволили сохранить рейсы, инцидент спровоцировал общенациональные меры кибербезопасности.
4. Вторжение в ИТ-систему авиакомпании WestJet (июнь 2025 г.)
Страна: Канада.
Источник угрозы: Scattered Spider (предположительно).
Что произошло:
Атака на части цифровой инфраструктуры WestJet затронула её мобильное приложение и внутренние системы. Авиакомпания избежала перебоев в работе рейсов, но предупредила о продолжающейся нестабильности обслуживания. Как и в случае с Qantas, атака могла быть связана с социальной инженерией.
5. Киберинцидент Hawaiian Airlines (июнь 2025 г.)
Страна: США.
Источник угрозы: Scattered Spider (предположительно).
Что произошло:
Инцидент кибербезопасности затронул внутренние системы и коммуникации авиакомпании. Хотя утечка не привела к утечке данных клиентов, сотрудникам пришлось искать другие способы связи для поддержания работы.
6. Взлом платформы набора персонала ИКАО (январь 2025 г.)
Организация: Международная организация гражданской авиации (агентство ООН).
Источник угрозы: «Natohub».
Что произошло:
Взлом системы подбора персонала ИКАО раскрыл данные почти 12 000 кандидатов. Атака не затронула операционные системы, но вызвала тревогу по поводу безопасности в высших регулирующих органах в сфере авиации.
7. Сайт аэропорта Милан-Бергамо недоступен после DDoS-атаки (апрель 2025 г.)
Страна: Италия.
Источник угрозы: Noname057(16) (пророссийская хакерская группа).
Что произошло:
Скоординированная DDoS-кампания вывела из строя сайт аэропорта, нарушив публичный доступ. Атака была частью более масштабной идеологической кампании, проводимой пророссийскими группировками, направленной против инфраструктуры ЕС.
8. United Airlines заявила об утечке SMS в даркнете (июнь 2025 г.)
Страна: США.
Источник угрозы: «Machine1337» (не подтверждено).
Что произошло:
Хакер предположительно опубликовал 272 миллиона записей SMS-сообщений, связанных с United Airlines. Однако сообщения, по всей видимости, были тестовыми данными с меткой «FakeDLR». Это поставило под сомнение обоснованность заявлений хакера, но всё же показало, что United — цель.
9. Попытка DDoS-атаки на Hartsfield-Jackson в Атланте (март 2025 г.)
Страна: США.
Источник угрозы: Неизвестно.
Что произошло:
Попытка DDoS-атаки временно нарушила работу аэропорта Атланты. Основные операции не были затронуты, и ИТ-отдел аэропорта оперативно отреагировал, чтобы избежать более серьёзных последствий. Инцидент подчеркнул важность надёжной защиты от DDoS-атак.
10. Несанкционированная продажа VPN-доступа, направленная против американской авиационной компании (продолжается)
Страна: США.
Источник угрозы: Неизвестно (в тёмной паутине).
Что произошло:
В тёмной паутине был опубликован пост, рекламирующий VPN-доступ к американской авиационной компании с годовым доходом 93 миллиона долларов. Хотя это не подтверждено, такой доступ может привести к краже данных, скрытому перемещению и атакам программ-вымогателей, что представляет серьёзную угрозу для внутренней инфраструктуры.
Общеотраслевые объявления о «распродаже доступа» в даркнете
SOCRadar выявил многочисленные случаи предполагаемой продажи доступа, связанные с авиакомпаниями и поставщиками авиационного оборудования. Хотя эта тенденция не всегда поддаётся проверке, она указывает на процветающий подпольный рынок скомпрометированных авиационных учётных данных и доступа к системам.
«В этом году Подразделение 42 отреагировало на волну мощных атак — не только в аэрокосмической отрасли, но и в сфере финансовых услуг, телекоммуникаций, розничной торговли и страхования», — говорит Рубин.
Как авиация может подготовиться к новым кибератакам
Инциденты 2025 года подтверждают, что авиационная отрасль является важной целью для хакеров. Масштаб, скорость и сложность кибератак растут, независимо от их политической или финансовой мотивации.
Эксперты по кибербезопасности предупреждают, что авиакомпании, аэропорты и регулирующие органы должны принять стратегии нулевого доверия, провести обучение персонала по вопросам кибергигиены и инвестировать в возможности мониторинга и реагирования в режиме реального времени.
«Самый эффективный шаг, который могут предпринять компании, — это укрепить защиту своих сотрудников», — говорит Рубин. «Это подразумевает чётко прописанные процедуры проверки личности, регулярное обучение и предоставление сотрудникам и службам поддержки возможности распознавать подозрительную активность и сообщать о ней».
В отчёте SITA «Air Transport IT Insights» за 2024 год показано, что усиление кибербезопасности является главным приоритетом инвестиций для авиакомпаний. Инвестиции в основном были направлены на создание центра управления безопасностью (SOC), о внедрении которого сообщили 87% авиакомпаний.
Авиакомпании используют искусственный интеллект машинное обучение для обнаружения и анализа угроз: 81% компаний внедрили эту технологию. Аэропорты также сделали кибербезопасность одним из своих приоритетов: 80% компаний сообщили, что кибербезопасность является наиболее существенной статьей расходов на ИТ.
Злоумышленники продолжают искать самое слабое звено в авиации, и зачастую таким звеном является человек.