Air Serbia остана без ИТ инфраструктура – компютрите са блокирани, служителите нямат достъп
Целият ИТ отдел на Air Serbia се бори с офанзива, която никой не може да види, само че всички към този момент са усетили.
Air Serbia стана жертва на хакерска атака, чиито последствия засегнаха вътрешните процеси на компанията. Цифровата рецесия стартира в първите дни на юли 2025 година и към момента продължава. Една от първите забележими последствия беше невъзможността да се издадат фишовете за заплати за месец юни – чиновниците получиха заплатите си, само че самите документи бяха недостъпни заради блокирани автоматизираните процеси.
Според вътрешните уведомления, получени от чиновниците на самолетната компания, ИТ отделът е разкрил признаци на целенасочени офанзиви още на 4-ти юли. На фона на продължаващите закани е било предложено незабавно да се приспособяват работните проекти, като се задействат наредбите на проекта за непрекъсваемост на активността. Специално внимание е обърнато на безвредното държание в интернет: чиновниците са призовани да не отварят имейлите, маскирани като служебни, изключително в случай че се допуска, че са изпратени от тяхното лично име.
На 7-ми юли стартира дейната фаза на реагиране. Всички пароли бяха нулирани, служебните сметки бяха деактивирани, а центровете за данни бяха сложени в демилитаризирана зона. Това докара до сривове в синхронизацията на паролите и до нарушение на работата на редица автоматизирани задания. За да ускори отбраната, компанията забрани достъпа до интернет за всички крайни устройства, като разреши единствено визити на обособени страници в домейна airserbia.com.
Освен това тя стартира да конфигурира нов програмен продукт за сканиране и сигурност на всички работни станции, а по-късно и нов VPN клиент. Първата вълна на промяна на паролите беше последвана от още две – на 9-ти и 11-ти юли. По време на вторите чиновниците бяха задължени да оставят компютрите си включени и заключени, преди да изоставен, с цел да може ИТ отделът да продължи да работи в тяхно неявяване.
Източници, близки до обстановката, настояват, че офанзивата е засегнала основната инфраструктура на Air Serbia, в това число Active Directory. Характерът на проникването към момента не е дефинитивно избран, само че има догатки, че е употребен злотворен програмен продукт, евентуално infostealer – стратегия, която събира чувствителни данни. Нарушителите не са поискали откуп, което може да значи или шпионска мотивация, или подготовка за по-нататъшни офанзиви, в това число допустимо потребление на рансъмуер.
Особено обезпокоително е, че липсва цялостната картина на случилото се – заради неналичието на регистри за сигурността е невероятно да се дефинира точният миг на проникването. Според вътрешни лица нападателите са следили уязвимостите в системата на Air Serbia от началото на 2024 година, а приключването на информация за вероятно компрометиране на инфраструктурата е почнало да се популяризира в техническите конгреси още тогава.
Компанията и преди е преживявала DDoS офанзиви – през 2025 година, само че сегашният случай е най-мащабният. Докато тече следствието, някои чиновници показаха угриженост, че управлението може да не заяви обществено за проникването, макар че следствията могат да обиден персоналните данни.
На фона на случая новината за рекордните резултати на самолетната компания е изключително контрастна: през 2024 година Air Serbia ще транспорти 4,4 млн. пасажери – с 6% повече спрямо миналата, също рекордна, година.
Air Serbia и сръбските държавни органи към момента не са дали формален коментар за случая.
