Quando parliamo di attacchi informatici a infrastrutture critiche, spesso li immaginiamo in un futuro distopico o nei racconti sensazionalistici dei telegiornali. Ma quello che è successo ad Aeroflot il 28 luglio 2025 non è fiction, è cronaca. Ed è un caso che va letto riga per riga, perché fotografa alla perfezione la vulnerabilità di un’intera nazione – e non solo – quando tecnologia, arroganza e guerra si intrecciano.
Due gruppi, Silent Crow e Cyber Partisans BY, hanno rivendicato l’azione. Non due nomi usciti dal nulla, ma due entità note per operazioni ben pianificate in ambito cyber contro obiettivi russi, spesso legati alla macchina statale o militare. La ricostruzione che propongono è dettagliata, quasi chirurgica. Parlano di accesso ottenuto oltre un anno fa, mantenuto silenziosamente per mesi. Nessun ransomware, nessuna estorsione: solo penetrazione silenziosa, osservazione, raccolta, e poi distruzione sistematica.
Hanno avuto tempo. Tempo per capire come era strutturata la rete di Aeroflot, quali server erano vitali, quali account avevano accesso amministrativo. Il CEO, dicono, usava ancora la stessa password dal 2022. Gli ambienti interni erano vecchi, obsoleti. Windows XP e Server 2003 ancora in produzione, interfacce legacy con vulnerabilità note e non patchate. Questo tipo di ambienti sono un invito a nozze per chiunque abbia anche solo un minimo di competenza offensiva.
Una volta dentro, gli hacker hanno compromesso decine di sistemi. Non solo i server principali, ma anche le postazioni dei dirigenti. Hanno acquisito credenziali, intercettato comunicazioni interne, probabilmente tracciato decisioni operative. Poi è arrivato il colpo di grazia. Secondo le stesse fonti, sarebbero stati distrutti o cancellati circa 7.000 server. Non solo disattivati: bruciati, annientati logicamente. L’intera infrastruttura IT azzerata. Basi dati scomparse, piattaforme CRM, Exchange, strumenti di virtualizzazione, server di autenticazione, sistemi di monitoraggio. Tutto.
Il danno si è visto subito. Aeroporti nel caos, voli cancellati, biglietterie ferme, personale incapace di accedere ai sistemi. Più di 100 voli interrotti, migliaia di passeggeri lasciati senza assistenza. E ancora oggi non si sa quanto tempo ci vorrà per tornare alla piena operatività. Se avevano backup validi, sono compromessi anch’essi. Se non li avevano, allora il blackout sarà totale e duraturo.
C’è poi la questione dell’esfiltrazione. Gli autori parlano di 12-22 terabyte di dati rubati: email interne, report strategici, conversazioni vocali, forse anche file legati alla sorveglianza dei dipendenti. Parte di questi dati è già stata pubblicata come prova. Non è solo sabotaggio: è una bomba informativa che potrebbe esplodere a rilascio lento.
Aeroflot è solo un simbolo. Il vero bersaglio è l’arroganza sistemica che caratterizza molti enti statali, in Russia ma anche altrove. Pensare che un’infrastruttura possa essere sicura solo perché è “interna”, “air-gapped”, o perché “nessuno oserebbe” è un’illusione. Questi attacchi dimostrano che il tempo, la pazienza e la motivazione politica possono abbattere qualsiasi firewall.
Questo episodio è un campanello che suona forte. Non solo perché mostra le conseguenze di un’infrastruttura trascurata, ma perché racconta una metodologia precisa: accesso stealth, persistenza invisibile, distruzione chirurgica. Il tutto senza chiedere un centesimo. Non è un attacco per guadagnare, è un attacco per colpire, per esporre, per destabilizzare.
Ed è forse questo il dettaglio più inquietante: non siamo di fronte a un crimine, ma a una nuova forma di guerra. In cui il danno economico, il panico sociale e il discredito internazionale sono armi quanto una bomba. Solo che qui non c’è fumo. Solo server spenti e silenzio.
Commenti
Posta un commento