Une infiltration de 12 mois a conduit à l’effondrement numérique d’Aeroflot, une importante compagnie aérienne Russe. Plus de 7 000 serveurs détruits : ZATAZ revient, heure par heure, sur l’une des cyberattaques les plus spectaculaires de ces derniers mois.
L’infiltration : un an dans les entrailles d’Aeroflot
Tout commence dans l’ombre. À l’été 2024, des opérateurs affiliés aux groupes hacktivistes Cyberpartisans BY et Silent Crow accèdent furtivement au réseau informatique d’Aeroflot. Leur mission : infiltrer, cartographier, désorganiser. Ils opèrent avec une patience chirurgicale, gravissant les échelons de sécurité jusqu’à atteindre le cœur de l’infrastructure IT, le Tier 0, bastion ultime de l’administration système.
Leurs cibles : hyperviseurs, clusters de virtualisation, interfaces iLO, jusqu’aux comptes des cadres dirigeants. Leur méthode : discrétion, persistance, et surtout, exploitation des vulnérabilités structurelles d’un système obsolète. Des systèmes Windows 2003 et XP sont encore utilisés. Des mots de passe n’ont pas été changés depuis 2022. Les failles humaines rejoignent les défaillances techniques.
L’opération prend alors une tournure stratégique. Les assaillants neutralisent les systèmes critiques : CREW, Sabre, SharePoint, Exchange, CASUD, Sirax, ERP 1C, CRM, et DLP. Plus aucun pan du système n’est épargné. En ce 28 juillet, les activistes appuient sur le bouton rouge : 7000 serveurs détruits, des téraoctets de données extraits ou rendus inaccessibles. Le cyberespace d’Aeroflot devient un champ de ruines. Des centaines de passagers restent au sol. Aeroflot tente de rassurer, en temps réel, comme le montre notre capture écran ci-dessous.
La compagnie n’a pas commenté l’attaque mais a confirmé via Telegram un “dysfonctionnement technique majeur”.
“Des interruptions de service sont possibles. Les horaires de vols peuvent être modifiés ou annulés. Les passagers sont invités à consulter les sites d’aéroports comme svo.aero et à suivre les annonces sonores.”
Aeroflot KAPUT : données exfiltrées, systèmes anéantis
Le sabotage est massif, systémique, méticuleux. Selon les groupes responsables, l’opération aboutit à :
-
12 To de bases de données exfiltrés (notamment les historiques de vol),
-
8 To de fichiers partagés sur les serveurs Windows,
-
2 To de courriers électroniques internes,
-
l’accès complet aux systèmes de surveillance du personnel, écoutes téléphoniques incluses.
L’infrastructure interne d’Aeroflot, répartie entre les centres de données de Sheremetyevo, Melkisarovo et d’autres sites, est partiellement ou totalement détruite. Des clusters Proxmox, 122 hyperviseurs, 43 machines ZVIRT figurent parmi les victimes.
La portée est inédite : les données personnelles de tous les passagers Aeroflot ayant voyagé au cours des dernières années ont été aspirées. Ces informations, selon les activistes, “voyagent maintenant sans bagage, en aller simple”, pour reprendre leur ironie mordante.
Les impacts se font immédiatement sentir : plus de 50 vols annulés dans les 48 heures suivant l’attaque, certains vers Minsk, Erevan, Tachkent. Le cours de l’action Aeroflot perd 3,9 %. Les dégâts estimés s’élèveraient à plusieurs dizaines de millions d’euros (environ 30 à 45 millions d’euros selon les analystes).
Guerre psychologique et renseignement numérique
Mais au-delà de la destruction, c’est un message stratégique qui est adressé. Destinataires désignés : le FSB, le Centre national de coordination de la cybersécurité (NCSCI), RT-Solar, et tout l’appareil répressif russe. Le communiqué publié par les Hactiviste que ZATAZ a reçu insiste : “Vous êtes sous surveillance depuis longtemps. Votre sécurité numérique est négligeable.”
Cette opération cyber agit sur plusieurs plans : sabotage, exfiltration de renseignement, opération psychologique. Le mélange de provocation symbolique et d’anéantissement technique installe une nouvelle grammaire dans le cyberespace : celle d’une guerre asymétrique, menée non plus seulement par des États, mais par des collectifs décentralisés, agiles, et hautement qualifiés.
L’attaque Aeroflot devient ainsi un cas d’école. Elle démontre que les infrastructures civiles critiques, même hautement protégées, sont vulnérables dès lors qu’elles sont mal entretenues, obsolètes, ou cloisonnées par une bureaucratie rigide.
Les hacktivistes ont ouvert un blog sur leur dernière action en date.
L’effondrement numérique d’Aeroflot pourrait bien marquer un tournant. Ce n’est plus seulement une entreprise qui est ciblée. C’est un emblème national, un bras logistique de l’État, frappé au cœur. Un acte de renseignement offensif, couplé à une démonstration de force cyber.
L’opération conjointe menée par Cyberpartisans BY et Silent Crow contre Aeroflot illustre l’évolution des rapports de force dans le cyberespace : tactiques prolongées, cibles hautement symboliques, communication maîtrisée. À la croisée du renseignement, du cyber-sabotage et de la propagande, ce coup porté à la compagnie nationale russe démontre les limites des dispositifs de cybersécurité actuels face aux menaces asymétriques.
À l’heure où les conflits modernes se gagnent autant sur les réseaux que sur le terrain, Aeroflot 2025 devient une référence dans les manuels de guerre hybride. Une alerte rouge pour toutes les infrastructures critiques à travers le monde.
En février : fuite massive de données civiles russes
Cyberpartisans BY et Silent Crow ne sont pas à leur première action. Février 2025, les Hacktivistes annoncent des accès revendiqués à la base centrale des citoyens de Moscou et de sa région, soit 30 millions d’enregistrements. 10 millions d’entrées sont publiées.
Les hackers évoquent aussi 8 autres ressources internes au DIT (département des technologies de l’information). “Ceux qui sont censés nous combattre ne peuvent même pas se protéger.” affichaient-ils déjà à l’époque.
Quelques jours plus tard, ZATAZ vous expliquait une seconde cyber attaque d’envergure. Piratage du système médical EMIAS. Accès complet revendiqué au réseau médical unifié de Moscou (EMIAS). 17 To de données exfiltrées : dossiers patients, diagnostics, prescriptions, coordonnées complètes, accès internes du personnel. “Nous avons contrôlé les hyperviseurs, les bases, les serveurs de sauvegarde. Les administrateurs semblaient souffrir de cécité sécuritaire chronique.”
Piratage du CERT national biélorusse
Le CERT biélorusse (cert.gov.by), censé protéger l’infrastructure nationale, est lui aussi compromis en mars 2025. “Alors qu’ils tentaient de bloquer des sites étrangers, nous avons pénétré leur serveur le plus protégé et exfiltré toutes leurs données.” avait pu lire à l’époque ZATAZ. Contenu revendiqué copié : Bases de données internes du CERT ; Codes sources du site avec configurations complètes ; Accès aux services mail et internes. Un espace de stockage sera ouvert dans le darkweb pour télécharger des données [toujours accessibles selon le Service de Veille de ZATAZ].
Les autorités Russes traquent Silent Crow et Cyber Partisans depuis des mois. Via Telegram, par exemple, de nombreux faux comptes sont apparus, dans la foulée cinq comptes officiels mis en place par les hacktivistes seront détruits depuis février 2025.
