La compagnie aérienne Russe Aeroflot perturbée par une cyberattaque : des dizaines de vols annulés !
La compagnie aérienne nationale russe, Aeroflot, a été victime d'une cyberattaque majeure, revendiquée par des groupes d'hacktivistes ukrainien et biélorusse ! L'incident a eu des conséquences sur l'activité de la compagnie aérienne : des dizaines d'avions sont restés cloués au sol. Voici ce que l'on sait.
Sommaire
Une infrastructure IT "détruite" et des données volées
L'attaque a été revendiquée conjointement par les groupes hacktivistes Silent Crow (Ukraine) et Cyberpartisans BY (Biélorussie). Ce dernier second groupe s'était déjà illustré par le passé en étant à l'origine d'attaques contre une compagnie ferroviaire biélorusse, accusée de faciliter le transport de matériel militaire russe.
Les deux groupes d'hacktivistes affirment avoir infiltré les systèmes d'Aeroflot depuis plus d'un an. Pendant tout ce temps, ils ont pu cartographier en détail l'ensemble du réseau avant de lancer leur offensive pour le détruire, si l'on reprend le terme qu'ils ont employé. Ils précisent avoir compromis les éléments suivants :
- 122 hyperviseurs,
- 43 installations de virtualisation ZVIRT,
- une centaine d'interfaces de gestion de serveurs iLO,
- 4 clusters Proxmox.
Lors de la phase finale de cette attaque, les hacktivistes auraient procédés à la "destruction" de 7000 serveurs physiques/virtuels et postes de travail, entraînant la destruction de 12 To de bases de données, 8 To de fichiers partagés Windows et 2 To d'e-mails d'entreprise.
Mais avant cela, des données ont été exfiltrées ! En effet, les hacktivistes prétendent détenir l'intégralité des bases de données sur l'historique des vols, des informations sur les postes de travail des employés (y compris des plus hauts dirigeants), les enregistrements d'appels téléphoniques et les systèmes de surveillance du personnel. Désormais, ils menacent de publier prochainement l'intégralité des données volées, ce qui exposerait les données personnelles de chaque Russe ayant voyagé au moins une fois avec Aeroflot.
Les détails de cette opération nommée AFLocolypse ont été partagés sur X et Telegram par les groupes d'hacktivises. Plusieurs copies d'écran, y compris de l'Active Directory, ont été partagées.
Plus de 60 vols annulés
Même si Aeroflot n'a confirmé ni l'intrusion par des tiers non autorisés, ni la destruction de données, la réalité sur le terrain parle d'elle-même. Plus de 60 vols ont été annulés et de nombreux autres ont subi des retards importants. La situation est tendue, et certaines liaisons seraient même opérées sans le support des systèmes informatiques habituels.
Cette attaque frappe un symbole de l'État russe, car Aeroflot est la plus grande compagnie aérienne du pays, détenue à 74% par le gouvernement. Les chiffres parlent d'eux-mêmes : une flotte de 171 avions, un total de 33 500 employés et plus de 55 millions de passagers transportés l'an dernier.
Aeroflot : un système informatique vieillissant
Selon les hackers bélarusses, le piratage d’Aeroflot aurait été grandement facilité par des négligences internes. Ils pointent notamment du doigt le PDG de la compagnie, Sergueï Alexandrovski, dont le mot de passe n’aurait pas été modifié depuis 2022.
De plus, ils affirment que certains systèmes de la compagnie aérienne reposent encore sur des systèmes d'exploitation obsolètes, telles que Windows XP et Windows Server 2003, désormais vulnérables à des failles de sécurité non corrigées.
