Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

cyberspazio

Cyber attacco filo-ucraino contro Aeroflot: un punto di svolta nella guerra cibernetica

Home News, attualità e analisi Cyber sicurezza e privacy
Indirizzo copiato

Non è solo un sabotaggio informatico riuscito, ma un atto di guerra ibrida perfettamente orchestrata da parte dei gruppi filo-ucraini Silent Crow e Cyberpartisans BY, condotta con metodi di social engineering che per un anno hanno abilmente sfruttato il fattore umano. Ecco le cifre in gioco e i dettagli sull’attacco contro la compagnia aerea russa

Pubblicato il 29 lug 2025
Attacchi cyber e outage informatici nel settore aereo

I gruppi filo-ucraini Silent Crow e Cyberpartisans BY hanno rivendicato un massiccio cyber attacco contro Aeroflot, la comnpagnia aerea russa.

“L’attacco a Aeroflot rivendicato dai bielorussi rappresenta un vero punto di svolta nella guerra cibernetica contemporanea“, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.

“L’incidente ha colpito principalmente rotte interne e collegamenti con Bielorussia e Armenia, generando forte preoccupazione al Cremlino e rivelando una significativa mancanza di sicurezza informatica“, aggiunge Nicola Iuvinale, Senior China Fellows presso Extrema Ratio.

Devastante cyber attacco contro Aeroflot: le cifre di un atto di guerra ibrida

Un attacco cyber ha costretto la compagnia aerea russa Aeroflot a cancellare più di 50 voli di andata e ritorno, interrompendo i viaggi nel Paese più grande del mondo. Due gruppi di hacker filo-ucraini hanno affermato di aver sferrato un devastante attacco informatico.

Il Cremlino ha definito la situazione preoccupante, mentre i legislatori l’hanno descritta come un campanello d’allarme per la Russia. I pubblici ministeri hanno confermato che il disservizio della compagnia di bandiera è stato causato da un attacco hacker e hanno avviato un’indagine penale.

“Non è solo un sabotaggio informatico riuscito, ma un atto di guerra ibrida perfettamente orchestrata, durata un anno e condotta con metodi di social engineering che hanno sfruttato il fattore umano più che vulnerabilità tecnologiche”, spiega Paganini.

The Moscow Times riporta infatti che i sistemi critici usano ancora Windows XP (di cui Microsoft non rilascia più patch da oltre un decennio). Inoltre il CEO non aveva cambiato password in oltre tre anni.

L’attacco avrebbe compromesso e distrutto oltre 7.000 server interni, oltre ad aver esfiltrato 22 terabyte di dati sensibili e cancellato backup e, solo il 28 luglio, ben 54 voli, provocando un crollo del 3,9% in Borsa della compagnia aerea russa.

“Non dobbiamo dimenticare che la guerra contro il nostro Paese è combattuta su tutti i fronti, compreso quello digitale. E non escludo che gli ‘hacktivisti’ che hanno rivendicato la responsabilità dell’incidente siano al servizio di Stati ostili”, ha dichiarato in un comunicato Anton Gorelkin, avvocato senior.

Secondo reuters, un membro del parlamento, Anton Nemkin, ha affermato che gli investigatori devono identificare non solo gli autori dell’attacco, ma anche “coloro che hanno permesso fallimenti sistemici nella protezione”.

Aeroflot non ha specificato quanto tempo ci vorrà per risolvere i problemi, ma i tabelloni delle partenze all’aeroporto Sheremetyevo di Mosca sono diventati rossi a causa della cancellazione dei voli in un periodo in cui molti russi sono in vacanza.

I dettagli dell’attacco: è guerra liminale

“Un’azione chirurgica, preparata per oltre un anno”, commenta con un post su LinkedIn Daniele Torre, Ceo presso Safecore.io: “È cyber geopolitica dal basso: operazioni coordinate da gruppi non statali, mossi da motivazioni ideologiche e politiche, ma con capacità da guerra digitale vera”.

L’esfiltrazione dei dati, concernenti non soltanto la logistica di volo, è particolarmente interessante perché sono coinvolti lo storico dei voli, i device endpoint dei dipendenti (Ceo compreso), mail dell’azienda (Exchange), dati provenienti da server d’intercettazione e file di tipologia confidenziale dei manager di fascia alta.

“Questo attacco dimostra che infrastrutture critiche, anche simboli del soft power come Aeroflot, possono essere paralizzate da gruppi organizzati, determinati e tecnicamente avanzati. In un contesto di guerra asimmetrica e non convenzionale, il dominio cibernetico è ormai terreno di aperta battaglia in cui siamo tutti potenziali obiettivi”, sottolinea l’ingegner Pierluigi Paganini.

I gruppi filo-ucraini

Silent Crow, un gruppo recente, ma che si è fatto notare sul fronte di cyber guerra filo-ucraino, per aver rivendicato attacchi contro istituzioni governative russe, Telco, aziende IT ed assicurazioni, questa volta ha collaborato con il gruppo bielorusso Cyberpartisans BY, attivo nei sabotaggi contro il regime di Alexander Lukashenko, stretto alleato del presidente russo Vladimir Putin.

“Come ho più volte sottolineato in passato“, continua Paganini, “in un contesto di guerra ibrida i non-state actor stanno assumono un ruolo sempre più centrale, operando con mezzi e fini politici, ma senza il vincolo delle strutture statali tradizionali”.

Gli attaccanti hanno inoltre pubblicato alcuni dati sull’infrastruttura critica di Aeroflot, mostrandone l’obsolescenza dei sistemi, la scarsa protezione e una gestione a dir poco superficiale.

Nel dettaglio hanno compromesso 122 hypervisor, 43 ambienti ZVIRT (virtualizzazione russa), circa 100 interfacce iLO per gestire server fisici e 4 cluster Proxmox e hanno avuto accesso completo a migliaia di VM, oltre a tutti tutti i sistemi core:

  • flight management (Crew, Sabre);
  • Erp e Crm (Kasud, 1C, Sirax, SharePoint);
  • Data loss prevention;
  • sorveglianza e wiretapping.

“Queste operazioni, definite come ‘guerra liminale‘, sono azioni condotte nella ‘zona grigia’ tra pace e guerra, sfruttando ambiguità per raggiungere obiettivi senza innescare un conflitto aperto. Spionaggio, furto di dati e manipolazione dei sistemi di controllo delle reti strategiche nazionali (energia, acqua) sono tattiche chiave. L’attacco ad Aeroflot sottolinea la vulnerabilità delle infrastrutture civili in un contesto di tensioni geopolitiche globali, dove il campo di battaglia si è esteso a ogni sistema interconnesso”, mette in evidenza Nicola Iuvinale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mirella Castigli
Giornalista
Giornalista pubblicista, collabora con AgendaDigitale.eu dal 2021. Laurea in Chimica Bio-organica all’Università degli Studi di Milano (1998, tesi sulla Chimica combinatoria, relatore Prof. Umberto Valcavi), collabora con CyberSecurity360, Pagamenti Digitali e BigData4Innovation (ora ZeroUno) dal 2021. In precedenza, ha collaborato con Computer Idea e alle inchieste di Pc Magazine come freelance (2000 – 2006), alla newsletter quotidiana e settimanale di VNUnet.it (VNU B. P.) dal 2004 e di ITespresso.it (2007-2017, NetMediaEurope). Nel 2002 è stata curatrice tecnica del progetto “Linee guida per la promozione della cittadinanza digitale: E-democracy” (progetto CRC con il Ministero per l’Innovazione e le Tecnologie). Ha scritto i libri “I motori di ricerca nel caos della rete” (ShaKe, 2000); Mela marcia (AgenziaX, 2010, ripubblicato come eBook da Punto-Informatico.it); Zero Privacy (Vidèa Instant Book). Attiva nella comunità degli Hackmeeting italiani dalla fine degli anni ’90, il suo hacktivismo e la sua cultura di rete sono stati citati in “Networking: The Net as Artwork”, scritto da Tatiana Bazzichelli (Costa & Nolan, 2006 /DARC Press, 2008). Ha lavorato come redattrice per “Le Sindache d’Italia” (ALI Autonomie), Reality book (Roma, 2021). Ha collaborato con Valigia Blu nel 2011. Un suo articolo, pubblicato da AgendaDigitale.eu, è citato sul Vocabolario Treccani alla voce “disruption”.

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • La frode Seo cinese e l'ascesa di GhostRedirector

  • allarme globale

    Sotto attacco le infrastrutture critiche mondiali: come mitigare la campagna APT filocinese

    29 Ago 2025

    di Alessia Valentini

    Condividi
  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • Perimetro di sicurezza nazionale cibernetica

  • normativa cyber security

    Perimetro di sicurezza nazionale cibernetica: cos’è, come funziona, chi ci rientra

    16 Dic 2024

    di Aurelia Losavio

    Condividi
  • Web3 cos'è e come funziona

  • BLOCKCHAIN

    Il nuovo Web3: cos'è, come funziona e le implicazioni di cyber security

    07 Apr 2025

    di Redazione Cybersecurity360.it

    Condividi