Elemzők szerint a hatalmas kiterjedésú akció inkább a politikai tiltakozás formája volt, semmint hagyományos pénzszerzés, azaz nem ransomware típusú támadás. Ugyanakkor az eset rávilágít az Aeroflotnál uralkodó belső rendetlenségre is.
Az USA-ba települt Partizánok szóvivője elmondta, hogy a csoportnak körülbelül 30 tagja van, akik többnyire Fehéroroszországon kívülről működnek. Nemrég csatlakozott hozzájuk a „Néma Varjú” vagy Varjak nevű társaság, amely - feltehetően - az orosz reptéri incidenseket előkészítette és végrehajtotta.
Ez politikai harc
A csoportok közleménye szerint nem követelnek váltságdíjat, hanem a politikai motiváció vezérelte őket. Ezzel egyetért Dmitrij Peszkov Kreml-szóvivő is, aki szerint az eset a digitális front része, és az orosz biztonsági és rendőri szervek megkezdték a háttér felderítését. A hack tényét az orosz ügyészség is megerősítette, és büntetőeljárást indított az ügyben
A július 28-án történt támadást a Partizánok és a Varjak közösen vállalták. Elmondták, hogy évek óta dolgoznak az Aeroflot IT-rendszereinek penetrációján, ami végül mintegy 100 járatot érintett, és többmillió dolláros kárt okozott.
A kibergerillák közlése szerint az Aeroflot megtámadásához a vállalat alkalmazottainak hanyag jelszóhasználata is segítette őket. Kihasználták, hogy a vállalat több egysége elavult Windows XP rendszer használ, és hogy Szergej Alekszandrovszkij, az óriásvállalat vezérigazgatója 3 éve nem cserélt jelszót, ami egyben rossz fényt vet a cég IT-rendszerére is.
A hackerek jelezték, hogy folytatják a támadásokat mindaddig, amíg az orosz rezsim közvetlen fenyegetést jelent Fehéroroszország és Ukrajna területi integritására és függetlenségére.
A disszidens IT-szakemberekből álló Varjak csoportja 2020 szeptemberében alakult, tiltakozásul a fehéroroszországi választások manipulálása ellen. A "kibergerillák" azzal magyarázták akciójukat, hogy segíteni akarnak Ukrajnának az agresszor elleni harcban azzal, hogy megbénítják az Orosz Föderáció legnagyobb légitársaságát " - olvasható a szervezet közleményében.
A részletek
A többezer szervert és munkaállomást a seremetyevói, melkisarovói és a kapcsolódó adatközpontokban lévő irodákban támadták meg. Kitörölték a CREW, Sabre, Sharepoint, Exchange, CASUD, Sirax, Sophie, CRM, ERP, 1C biztonsági rendszereket, és az Aeroflot vállalati hálózati struktúrájának egyéb elemeit.
Kiszivattyúztak számos adatbázist, lehallgatott alkalmazottakat, e-maileket, és letöltöttek egy sor repüléstörténeti adatbázist, amelyeket mostantól felhasználhatnak további akciókhoz.
A Varjak közlése szerint az akció hosszas előkészítése során hozzáférést szereztek az alkalmazottak személyi számítógépeihez, beleértve a felső vezetést is. A támadás reggelén a hackerek az adatokat egy speciális, innovatív algoritmus segítségével törölték le és tárolták el további felhasználásra.
Az akció szervezői azt állítják, hogy a helyreállítás nagyon sokáig fog tartani, és a vállalat, amelynek részvényei esnek, jelentős további veszteséget fog szenvedni. (Az állítás csak részben igaz, mert a vállalat kapitalizációja nőtt az ukrajnai invázió utáni esést követően, viszont valóban jórészt az állami tőkeinjekciók és a belső hazai forgalom függvénye.)
"Az ellenállás egyetlen lehetséges formája"
A fehéroroszországi politikai elnyomással szemben összefogott kiberpartizánok azt mondják, hogy a civil tiltakozás és ellenállás egyetlen lehetséges formáját választották: a Lukasenko-rezsim struktúrái elleni online harcot.
A szervezet fennállása óta számos sikeres akciót hajtott végre, az állami híroldalak feltörésétől kezdve a fehérorosz KGB honlapjára való behatolásig, majd adatbázisának közzétételéig.
"Az Aeroflot sorsában az Orosz Föderáció és a Kreml-diktatúrának dolgozó minden vállalkozás vagy szervezet osztozhat" - figyelmeztetett a hackercsoport.