7 月 28–29 日,两支亲乌克兰黑客组织——“沉默乌鸦 Silent Crow”与白俄罗斯“网络游击队 Belarus Cyber Partisans”——联手发动攻击,声称“攻陷”俄罗斯国有航空公司 Aeroflot 及子公司 7 000 余台服务器、窃取敏感数据并远程“锁死”员工电脑,致使俄方两日内取消或延误逾 100 架次航班、多个国际航线被迫停飞。
俄检方已立案调查,克里姆林宫称事件“十分严重”。这是俄乌网络对抗中,对俄关键交通基础设施造成最大规模中断的一次。
一|事件时间线
| 日期 | 关键节点 |
|---|---|
| 7 月 28 日 03:00 | 黑客开始同时攻击 Aeroflot、Rossiya、Pobeda 三大航司后台系统 |
| 7 月 28 日 10:00 | Aeroflot 官网、订票、调度及行李系统大面积故障,首日取消 59 趟往返航班 |
| 7 月 28 日 15:00 | Silent Crow 与 Cyber Partisans 在暗网发布声明,称已潜伏“一整年”,掌握 7 000 台服务器控制权 |
| 7 月 29 日 | 俄检察院、交通部介入;第二天再取消 53 班次,但官方称“93% 航班已恢复” |
| 7 月 29 日晚 | BleepingComputer、Bitdefender 等安全媒体证实系统仍在人工模式下运行,积压延误持续 |
二|攻击链与技术要点
1.长期潜伏
- 黑客自称 2024 年起即通过钓鱼邮件与云端凭据泄露进入 Aeroflot 内网,并植入持久化脚本。
2.多阶段打击
- 数据窃取:下载旅客资料、员工档案与财务文档;部分文件已在泄密站亮相。
- 系统锁定:批量触发远程执行脚本,关闭值机、调度与门户服务器。
3.攻击面扩散
- 影响航线覆盖白俄罗斯、亚美尼亚、乌兹别克斯坦等国际段;子公司 Rossiya 与 Pobeda 同步瘫痪。
据称为黑客组织侵入俄航内部系统的截图(来源:Silent Crow|Telegram)
三|运营与经济影响
| 维度 | 影响 |
|---|---|
| 航班运营 | 48 小时内取消/延误 > 100 架次,莫斯科谢列梅捷沃机场陷入大规模排队 |
| 客户服务 | 在线值机、行李跟踪、积分系统失效,客服电话被大量乘客打爆 |
| 经济损失 | 攻击方声称破坏数据将使航司损失“数千万美元”;俄媒估计直接票务损失在 5–8 亿卢布 |
| 声誉与监管 | 俄联邦交通委员会要求审计“网络防御漏洞”;议会成员呼吁追责高管 |
四|攻击团伙画像
4.1 沉默乌鸦 Silent Crow
- 2025 年初在乌克兰语 Telegram 频道首次亮相;主打“航空业破坏”标签。
- 宣称“与 Anonymous、IT Army 无直接关联”,强调“小团队精准打击”。
4.2 Belarus Cyber Partisans
- 2020 年白俄罗斯抗议浪潮中崛起,擅长 OT/铁路攻击;2023 年加入乌克兰网络协同。
- 此次提供情报和后门脚本,号称“对俄基建最猛烈一击”。
五|俄方与国际响应
- Aeroflot:已强制重设内部凭据、切断对外 VPN,宣称“核心航班调度已手动接管”,并启用应急纸质流程。
- 俄检察院:对“破坏关键基础设施”立案,最高可判 10–15 年监禁;并称将请求国际执法协助。
- 克里姆林宫:发言人佩斯科夫表示“极其严重,将加强对交通行业的网络审计”。
- 乌方舆论:乌克兰数字转型部副部长推文称“这是对俄罗斯侵略的合法反制”。
六|安全启示与防护建议
1.零信任细分网络
- 关键 OT/调度系统与办公网彻底物理隔离;对跨网接口强制硬件网闸。
2.多地备份+离线演练
- 航班计划与旅客数据每日离线镜像;季度进行“纸质运营”应急演练。
3.持续威胁狩猎
- 针对长期潜伏型对手,实施基于行为的 EDR 与集中日志关联分析,缩短潜伏窗口。
4.跨国情报共享
- 航空联盟成员内部建立即时 IOC 交换通道,关注 Silent Crow、Cyber Partisans 使用的 TTP、域名与钱包。
结语
此次“沉默乌鸦 + 网络游击队”联合行动,将俄罗斯航空枢纽拉入停摆边缘,验证了“APT + 勒索 + 破坏”混合模型对关键交通基础设施的杀伤力。俄乌网络战升级背景下,全球航空业必须重新审视 长期潜伏侦察、供应链后门与 OT 隔离 三大盲区,以免成为下一张多米诺骨牌。
