Zamyšlení nad kybernetickém incidentu Aeroflotu

Přehled incidentu

Dne 28. července 2025 došlo k mohutnému kybernetickému útoku na ruskou národní aerolinii Aeroflot. Útok zásadně narušil IT infrastrukturu společnosti i jejích dceřiných firem Rossiya a Pobeda, což vedlo ke zrušení nebo zpoždění více než 100 letů – včetně mezinárodních destinací – a ochromilo provoz na hlavních letištích, zejména v Moskvě.

Technické detaily útoku

Podle výpovědí skupin Silent Crow (proukrajinská) a Cyber Partisans (běloruská) byla v rámci rok trvající infiltrace napadena a následně zničena klíčová IT infrastruktura Aeroflotu – údajně bylo zničeno přes 7 000 serverů a exfiltrováno 20–22 TB dat zahrnujících historii letů, osobní údaje cestujících a zaměstnanců, interní emaily, nahrávky hovorů i logy z pracovní doby vedení

Útočníci tvrdili, že získali administrátorská práva, přístup ke koncovým stanicím managementu a naznačují možnost zveřejnění dat včetně osobních údajů všech, kteří kdy letěli s Aeroflotem.

Zranitelnosti a selhání

Útok byl umožněn zastaralými systémy (např. používání Windows XP a Windows 2003) a špatným managementem hesel včetně údajně nezměněného hesla CEO Aeroflotu od roku 2022.

Přístup do sítě byl dle útočníků získán právě kompromitací účtu vrcholového managementu.

Dopady na společnost a zákazníky

Incidence ochromila rezervační systém, správu letů i zákaznický servis – pasažéři nebyli schopní řešit refundace či změny, výjimku měli jen specifické kategorie cestujících.

V den útoku bylo zrušeno okolo 42% letů, přičemž následky přetrvávaly několik dní, i když Aeroflot postupně obnovoval provoz. Přímé ekonomické ztráty se odhadují v řádu stovek milionů rublů, s tím, že dlouhodobé následky zatím nelze zcela stanovit, jelikož útočníci vyhrožují zveřejněním získaných dat.

Politické, bezpečnostní a strategické souvislosti

Incident představuje jeden z nejzásadnějších útoků na ruskou kritickou infrastrukturu od počátku konfliktu s Ukrajinou a ukazuje na nový trend využívání digitálních zbraní i v hybridních vojenských konfliktech

• Akce měla jasně politickou motivaci — demonstrace schopnosti narušit ruské státní symboly, dosáhnout psychologického i ekonomického efektu a současně upozornit na slabiny ruských IT ekosystémů.
  

Doporučení

• Provádět pravidelné bezpečnostní audity včetně penetračních testů kritických systémů.

• Zabezpečit správu uživatelských účtů, vynucovat silná hesla a jejich pravidelnou změnu.

• Přechod na podporované a moderní IT platformy.

• Posílit zálohování a scénáře disaster recovery včetně pravidelných testů obnovy.

• Vzdělávat zaměstnance v oblasti bezpečnosti a phishingu.

• Zajistit jasnou krizovou komunikaci pro zákazníky v době incidentu.

Kybernetický útok na Aeroflot je varováním pro všechny organizace provozující kritickou infrastrukturu — zdůrazňuje význam moderní bezpečnostní kultury, robustních technických ochranných opatření i pohotovostních plánů.