Кто и зачем атаковал российскую систему бронирования авиабилетов?

В российской системе бронирования авиабилетов Leonardo произошел масштабный сбой. Причиной стала массовая DDOS-атака из-за рубежа, заявили в «Ростехе», который является соразработчиком этой системы. В госкорпорации отметили, что целью хакеров, атаковавших Leonardo, была остановка авиаперевозок в России.

Что думают эксперты?

Утром 28 сентября сразу несколько авиакомпаний, включая «Аэрофлот», «Победу», Utair и Red Wings, сообщили о проблемах с регистрацией на рейсы. Пассажиров попросили приезжать в аэропорт заранее, поскольку регистрация проводилась в ручном режиме.

Не исключено, что сбои начались еще раньше. Вот что рассказала обозреватель Business FM Яна Ретунская, которая 27 сентября летела из Антальи в Москву рейсом «Аэрофлота»:

Яна Ретунская обозреватель Business FM «Был сбой в системе бронирования, когда пытались зарегистрировать билет. По какой-то причине система позволяла зарегистрировать само место, но при этом билет распечатать не давала. Из-за этого мы стояли у стойки регистрации и ждали, наверное, минут 15. Билет, который мы пытались зарегистрировать, был служебным. Я не знаю, возможно, это какая-то проблема именно в аэропорте Антальи и конкретно в их системе. Я не знаю, насколько это относится к системе Leonardo».

Возможно, проблема была именно со служебным билетом. Такие билеты могут купить сотрудники авиакомпании или их родственники на корпоративном портале.

Чуть меньше года назад все российские перевозчики перешли на отечественную систему бронирования Leonardo. Это разработка компании «Сирена-Трэвэл» в партнерстве с «Ростехом».

С тех пор были сбои в работе системы, но не такие серьезные, как нынешний. Продолжает авиаэксперт, главный редактор портала FrequentFlyers.ru Илья Шатилин:

Илья Шатилин авиаэксперт, главный редактор портала FrequentFlyers.ru «Масштабных сбоев в «Сирене» я, честно говоря, не помню, но важно понимать, что все российские авиакомпании, кроме буквально двух, работают на базе «Сирены» с осени прошлого года, раньше некоторые авиакомпании ее использовали. Какие-то сбои были, но они не были настолько масштабны, потому что, когда падает, допустим, группа «Аэрофлот», которая занимает больше половины рынка, безусловно, это становится заметным. И еще важно понимать, почему это именно сегодня произошло. Потому что сегодня у «Сирены» проходит партнерская конференция в Турции, там огромное количество представителей авиакомпаний. Все это сделано как раз-таки, видимо, под это мероприятие, в имиджевых целях. Кто за этим стоит, можно только догадываться. Но факт такой есть».

Днем 28 сентября «Аэрофлот» сообщил, что работа системы Leonardo восстановлена. Чуть позже в «Ростехе» заявили, что хакерские атаки возобновились с территории несколько стран, включая Украину. Есть небольшие сбои, но в целом система держится, отметили в госкорпорации. Насчет «небольших» сбоев — это как посмотреть. Вечером в ряде онлайн-сервисов невозможно было заказать авиабилеты.

Business FM позвонила под видом клиента по телефону горячей линии «Аэрофлота». Но там мало что смогли сообщить о сбое:

— Волнуюсь по поводу этой DDOS-атаки. Можно ли сейчас заказывать в электронном виде или лучше подождать?

— Вы, получается, хотите собаку добавить в бронирование?

— Нет. Какая собака? Я хочу купить билет и слышала про DDOS-атаку.

— А, хорошо, сейчас я информацию уточню, ожидайте, пожалуйста. Спасибо за ожидание, у нас, к сожалению, точной информации по этому поводу нет.

Кто именно атаковал российскую систему бронирования, точно неизвестно. Но небольшие группы и хакеров-одиночек можно точно исключить. Такую масштабную атаку они организовать не могут: слишком большие финансовые затраты. Сама атака была хорошо подготовлена. И нельзя исключать того, что у злоумышленников была информация об устройстве Leonardo и слабых местах системы. Продолжает эксперт по информационной безопасности, гендиректор Phishman Алексей Горелкин:

Алексей Горелкин эксперт по информационной безопасности, гендиректор Phishman «Нужно знать специфику запросов, какие должны быть запросы и что они должны содержать, чтобы система легла. Поэтому это хорошо подготовленная атака с использованием специфики системы. Поэтому я и считаю, что подобную атаку можно было произвести, только имея инсайдера внутри, либо имея настолько дырявую инфраструктуру, что злоумышленники узнали на низком уровне, как система работает. Во втором я, конечно, сомневаюсь. В первом я сомневаюсь меньше. Для меня самый, наверное, острый вопрос, как быстро перенастроить систему, чтобы подобные атаки можно было остановить. Это то же самое, что вас лично должны пустить для проверки документов, чтобы узнать, что вы — это вы. И тут приходит, допустим, 500 ваших двойников. Вот и как сделать так, чтобы эти двойники не прошли? Это будет долго, дорого и сильно все усложнит».