«Убытки в десятки миллионов долларов». «Киберпартизаны» – о смысле атаки на «Аэрофлот» и дальнейших планах

Из-за взлома были отменены больше ста рейсов, а ущерб «Аэрофлоту» оценивается в сотни миллионов рублей. Медуза поговорила с пресс-секретарем «Киберпартизан» Юлианой Шеметовец об эффективности кибервойны и том, была ли хакерская атака безопасной для пассажиров авиакомпании.

— Как вы оцениваете ущерб компании? Уже на следующий день рейсы возобновились, всего их было отменено около 150 — это не больше, чем из-за регулярных атак дронов. 

— Мы в принципе ожидали, что они попытаются восстановить перелеты в первую очередь. Группа не атаковала авиационную безопасность, мы не хотели повлиять на перелеты и создать опасную ситуацию. Это разные системы.

Атака была на корпоративную сеть, которая не напрямую, понятное дело, тоже повлияла на перелеты. Мы видели, что в понедельник, когда было объявлено об атаке, практически все рейсы были отменены, люди оставались в аэропортах.

Конечно, сейчас все восстанавливается, в принципе есть возможность пересчитывать перелеты буквально на бумажке. 

Компания уже несет убытки, и будет еще больше. Им важнее сохранить лицо, что логично для государственной компании, компании режима, но это все равно будет влиять на их финансы, на то, как им приходится покрывать убытки и латать дыры. Не все системы и данные восстановлены полностью, это также будет влиять на цены билетов.

Для нас важно уже то, что, по экспертным мнениям, компания за один день понесла убытки в десятки миллионов долларов. И это большое достижение, ведь эти деньги пойдут на восстановление систем, а не на военные цели.

— Вы сказали, что компании придется восстанавливать множество данных. Что это за данные?

— «Киберпартизаны» и Silent Crow в первую очередь атаковали корпоративную сеть, поэтому все данные, которые там находились, были либо повреждены, либо полностью удалены, либо частично затерты. Были также удалены бэкапы, не во всех базах данных были резервные копии.

Восстановление займет какое-то время, что-то восстановить будет просто невозможно. 

Данные, о которых мы говорим, это данные на компьютерах сотрудников: почта, переписки, документация, все, что связано с бухгалтерией и перелетами, бронированием билетов. 

— В совместном с Silent Crow заявлении вы пишете, что «хакеры не хотели подвергать риску пассажиров „Аэрофлота“», но при этом не советуете пользоваться услугами авиакомпании. Почему?

— Учитывая паническую ситуацию, внутри системы в таких условиях есть риск человеческой ошибки. Люди в стрессе могут неправильно рассчитать перелет или что-то не то передать диспетчерам. У меня нет достоверной информации на этот счет. Конечно, мы просто спекулируем.

Но тем не менее мы понимаем, что в таких условиях, особенно в ситуации, когда российский режим будет, как обычно, искать крота, то есть того, кто сдал пароли и доступ к системам, люди в стрессе могут совершать ошибки. Если они будут совершать ошибки, это будет не наша ответственность. 

Тем не менее наша задача предупредить людей, что все это будет восстанавливаться, пока они будут пытаться выяснить, кто и что сделал. Мы предполагаем, что несколько месяцев будет летать небезопасно, поэтому лишний раз лучше не рисковать. И опять-таки призываем не поддерживать госкомпанию.

— Это немного противоречит тому, что вы сказали. Получается, вы перекладываете ответственность на людей, которые будут допускать ошибки в результате сбоя, хотя первоначальной причиной была хакерская атака? Или я не так понял?

— Смотрите, идет война. Не бывает так, чтобы одна страна шла в другую страну, убивала людей и при этом граждане страны, которая убивает, думали, что это никак не повлияет на их жизнь. Естественно, это влияет: дроны залетают, территории тоже подвергаются обстрелам.

Понятно, что будут атаки на государственные компании, кибератаки, такие же, как когда и россияне атакуют, когда планируют военные действия. Это цена войны, это условия, в которых граждане живут.

Тем не менее мы всегда стараемся не подвергать риску жизни обычных людей, гражданских, поэтому предупреждаем обо всех последствиях. Не может быть комфортной жизни, когда твоя страна, когда граждане твоей страны убивают соседей. Поэтому это реальность. Бытовая жизнь, в которой сейчас живут россияне, и они должны понимать, кто за это ответственен. 

При этом мы могли бы вообще не обращать на это внимания, учитывая, как подобные атаки проводятся со стороны российских граждан. 

— В заявлении вы также сказали, что выгрузили 22 терабайта информации и вскоре часть ее опубликуете. С какой целью это будет сделано? Чтобы нанести дополнительный ущерб компании?

— В первую очередь это не для ущерба компании. Мы сможем его нанести, если они, например, незаконно записывали разговоры собственных сотрудников. Это докажет, что они следят даже за теми, кто поддерживают компанию, поддерживают режим. 

Вы можете проследить за деятельностью «Киберпартизан» с 2020 года: учитывая, какая чувствительная информация находится в наших руках, можно сделать вывод, как аккуратно мы к ней относимся.

У нас есть определенные правила: например, если к нам обращается верифицированный журналист за информацией об обычном гражданине, который никак не связан с режимом, мы просим конкретную цель и доказательства, что они все же связаны. 

То же самое и здесь. Никакого слива всех баз сразу после взлома не будет. Сначала мы проанализируем данные, а потом что-то опубликуем. Например, данные завербованных [государством] активистов. Или, например, того, что может быть связано с деятельностью непосредственно самого «Аэрофлота»: перевозки военного персонала или вооружения. Не факт, что мы найдем эти данные, я только теоретизирую. Но публикации данных обычных граждан, которые летали «Аэрофлотом», с нашей стороны точно не будет.

— В других интервью вы говорили, что доступ к выгруженным данным есть не у всех участников «Киберпартизан», а только у нескольких человек. Насколько может быть безопасна система, в которой огромным массивом персональных данных владеет небольшая группа людей?

И если утечки неоднократно происходили у государственных ведомств и крупных корпораций, то каковы гарантии, что утечка не произойдет у самих хакеров?

— Конечно, такая возможность всегда есть. Мы реалистично к этому относимся и никогда не заявляем, что 100% никогда ничего не произойдет. При этом наши люди профессионалы, они понимают, как защищать данные. 

У нас нет размытых бюджетов, в принципе нет бюджетов уровня госкорпораций, мы очень много собственных ресурсов вкладываем в то, чтобы иметь самые безопасные системы. Мы понимаем уровень ответственности и стараемся не быть на таком уровне профессионализма, как у госструктур.

Нашей группе в сентябре будет пять лет, и за это время никаких утечек у нас не было. Это большой срок, по которому можно судить, что система хорошо защищена. Мы всегда стараемся минимизировать риски, пересматривать протоколы и делаем все возможное, чтобы никто не получил доступ к нашим базам.

Те же самые базы есть у государства. Следовательно, какой им смысл нас атаковать? Только чтобы понять, что у нас есть. Поэтому в первую очередь мы защищаемся от других хакеров, которые могут использовать данные в личных корыстных целях.

— Вы утверждаете, что находились в системе «Аэрофлота» на протяжении года. Что это значит и как это возможно? Почему кульминация взлома произошла именно сейчас, есть ли какие-то причины для этого?

— «Киберпартизаны» знают, как находиться в системах незамеченными. Мы много работали с белорусскими системами прежде, чем мы начали деятельность в России. У нас есть опыт и усидчивость, которые позволяют заниматься скучной монотонной работой и медленно продвигаться внутрь сетей. Поэтому, конечно, взлом занимает время.

В дополнение к этому, «партизаны» работают над несколькими проектами одновременно. Наш главный фокус остается на Беларуси, также у нас есть проекты, которые связаны не с атаками, а с безопасностью, анализом данных, выявлении агентуры.

Почему выбрали именно такое время? Ну, есть свои причины. Я не могу про них говорить, к сожалению.

— Как вы оцениваете вклад кибервойны и подобных хакерских атак в контексте противостояния режимам Лукашенко и Путина?

— Мы реалистично относимся к кибератакам. Понятно, что ими одними нельзя поменять ни режим Лукашенко, ни режим Путина. Чтобы достичь главной цели, работа должна проводиться в комплексе. 

Тем не менее свою часть мы выполняем успешно. В Беларуси в принципе невозможно действовать на земле.

Репрессивная машина сильнее, чем в России. Мы знаем, что Навальный умер в тюрьме, а в Беларуси погибло около 10 человек с 2020 года. Даже по этой статистике видно, насколько ситуация хуже.

Поэтому деятельность «Киберпартизан» вдохновляет людей и показывает, что борьба продолжается, что мы поддерживаем всех, кто остается в Беларуси и не переходит на сторону режима. 

Другая важная часть — выявление агентуры. Например, в России взлом Роскомнадзора помог выявить, за кем пристально следит государство. И многие российские активисты были благодарны. Они поняли, что происходит и как себя обезопасить.

Такая деятельность помогает поддерживать оппозиционные демократические силы. В совокупности она ослабляет режим, отвлекает его от военных целей, забирает часть финансов. 

Кроме того, мы показываем гражданам России, какова цена войны, и спрашиваем, хотят ли они, чтобы это продолжалось. Если им все равно, что убивают украинцев, украинских детей, то, возможно, влияние на бытовую жизнь заставит задуматься, кто за этим стоит и почему это происходит.