E’ sfuggita forse a molti la portata dell’evento, per le nuove prospettive che apre nella guerra cyber mondiale.
Nella notte tra il 27 e il 28 luglio 2025, la compagnia di bandiera russa Aeroflot è stata colpita da un attacco informatico senza precedenti, che ha causato la paralisi di numerosi sistemi IT, la cancellazione di oltre cento voli e disagi per migliaia di passeggeri.
Indice degli argomenti
L’attacco ucraino agli aerei russi
A rivendicare l’operazione sono stati due gruppi hacktivisti filo-ucraini, Silent Crow e Cyber Partisans che sostengono di aver violato l’infrastruttura digitale della compagnia per oltre un anno, esfiltrando decine di terabyte di dati e distruggendo migliaia di server. Si tratta, con ogni probabilità, di uno degli attacchi più gravi mai subiti da un vettore civile russo, non solo per la portata tecnica, ma anche per il significato simbolico e strategico nel contesto di un conflitto, quello tra Russia e Ucraina, che è diventato sempre più ibrido.
Alle 6:30 del mattino del 28 luglio, Aeroflot ha pubblicato un breve comunicato in cui ha attribuito il rallentamento delle operazioni a “malfunzionamenti informatici” ma poche ore dopo la Procura Generale russa ha confermato l’apertura di un’indagine per attacco informatico a infrastrutture critiche. Gli effetti dell’attacco sono stati da subito critici: circa 100 voli cancellati in 24 ore, lunghe code all’aeroporto di Sheremetyevo, impossibilità di accedere al sito web e all’app, call-center fuori uso.
Le conseguenze dell’attacco
Nonostante gli sforzi per normalizzare la situazione, anche il giorno successivo decine di tratte sono state soppresse e le conseguenze si sono riflettute anche sulla Borsa di Mosca che ha registrato una perdita del 3,9% del titolo AFLT.MM nella sessione del 28 luglio, seguita da un parziale rimbalzo il giorno seguente. Le perdite finanziarie per la compagnia potrebbero aggirarsi sulle decine di milioni di dollari, considerando sia il danno diretto sia l’impatto reputazionale in un momento di picco per il traffico passeggeri.
L’analisi tecnica dell’attacco a Aeroflot
I dettagli tecnici forniti dai gruppi Silent Crow e Cyber Partisans danno conto di un’operazione accuratamente pianificata: gli hacker affermano di aver avuto accesso per oltre 12 mesi ai domini Windows interni di Aeroflot, ottenendo privilegi di amministratore e muovendosi lateralmente tra ambienti virtualizzati, cluster di dati e piattaforme critiche. Da un punto di vista tecnico, l’azione combinerebbe diverse tecniche note nel framework MITRE ATT&CK: utilizzo di account validi compromessi (T1078), cancellazione di dischi e dati (T1561.002), manipolazione di dati archiviati e transazionali (T1565.001). L’assenza di segmentazione tra domini e l’uso di architetture legacy ha probabilmente amplificato l’effetto domino.
In base alle ricostruzioni ucraine, l’attacco avrebbe portato alla distruzione di oltre 7.000 server e workstation fisici e virtuali, inclusi 122 hypervisor, e alla compromissione di sistemi fondamentali come Proxmox, SharePoint, Exchange, l’ERP russo 1C, Sirax (utilizzato per la gestione dei biglietti)e Sabre, che ha però negato che Aeroflot utilizzi la sua piattaforma. I dati estratti sarebbero tra i 12–20 terabyte e includerebbero database passeggeri, e-mail di manager, log dei call-center e persino registrazioni vocali.
Una volta completata la fase di esfiltrazione, i sistemi sarebbero stati deliberatamente distrutti con tecniche di wipe totale. Alcuni endpoint interni avrebbero mostrato splash-screen provocatori con la scritta “AEROFLOT KAPUT”, a sottolineare il carattere politico e simbolico dell’azione.
Sembra che il successo dell’attacco sia legato anche alla scarsa igiene informatica interna alla compagnia. Secondo le dichiarazioni dei cyberattivisti, infatti, molti server erano ancora basati su sistemi operativi superati come Windows XP o Windows Server 2003 e alcune credenziali di alto livello non venivano aggiornate dal 2022.
Chi sono i due attori dell’attacco cyber ucraino agli aerei russi Aeroflot
I due attori che hanno condotto l’attacco sono molto noti nel contesto della guerra informatica contro la Russia: Silent Crow è un gruppo di hacktivisti nato nel dicembre 2024, considerato vicino all’IT Army ucraina ma non ufficialmente affiliato. Era già stato collegato in passato a violazioni contro Rosreestr (registro immobiliare russo), Rostelecom, il Dipartimento IT di Mosca e Alfa Bank.
I Cyber Partisans, invece, sono un collettivo bielorusso attivo dal 2022, schierato contro il regime di Lukashenko e anch’esso coinvolto in campagne di sabotaggio digitale come l’attacco alla ferrovia bielorussa nel 2022 o alla fabbrica Grodno Azot nel 2024.
Entrambi i gruppi rivendicano di avere finalità strategiche e simboliche a sfondo politico e affermano di non chiedere riscatti, in quanto l’obiettivo dichiarato delle loro attività è quello di indebolire le infrastrutture russe, disorientare l’opinione pubblica e dimostrare che Mosca non è immune da attacchi, un conflitto ibrido senza frontiere.
Che vuole dire l’attacco informatico ucraino agli aerei russi Aeroflot nello scenario geopolitico della guerra cyber
L’attacco è particolarmente grave se si allarga la lente di analisi al contesto di sanzioni tecnologiche che limita alla Russia l’accesso ad hardware e software internazionali, lasciando un grande punto interrogativo su come verranno ricostruiti i sistemi colpiti. Aeroflot potrebbe essere costretta a una migrazione verso cloud sovrani gestiti da Rostelecom o a implementare sistemi air-gapped, con costi ingenti e tempi lunghi.
La reazione delle istituzioni russe è stata cauta e in parte contraddittoria: se Dmitry Peskov, portavoce del Cremlino, ha definito l’accaduto «una minaccia grave per tutte le grandi compagnie» e ha promesso un rafforzamento delle difese informatiche nazionali, il Ministero dei Trasporti ha evitato il termine “cyber-attacco” e ha dichiarato l’incidente risolto già il 29 luglio. Nel mentre ha però ordinato la transizione urgente a sistemi domestici e il ripristino manuale delle operazioni di biglietteria, mentre la Procura ha aperto un fascicolo penale senza fornire dettagli tecnici né attribuire formalmente l’attacco.
Evoluzione della cyber guerra
In ogni caso, l’attacco di questi giorni rappresenta un’importante evoluzione nella cyber-guerra ibrida tra Russia e Ucraina. Si tratta di un esempio di “sabotaggio cinetico” in cui gli effetti digitali hanno ripercussioni tangibili sulla mobilità, sull’economia e sulla percezione di sicurezza interna.
Si erano già registrati attacchi simili in passato, come nel caso della cancellazione di database di Rosaviatsia nel 2023 o l’attacco a Gazprom nel luglio 2025, ma nessuno aveva colpito con tale intensità una compagnia simbolo del sistema industriale russo: si tratta di un avvenimento di cui non va sottovalutata la componente psicologica. Aeroflot rappresenta un pilastro dell’identità nazionale russa e la sua vulnerabilità è stata esposta proprio mentre Mosca tenta di rafforzare il fronte interno nel terzo anno di conflitto.
Il caso Aeroflot dimostra come gli attacchi informatici non siano più solo strumenti di spionaggio o propaganda, ma strumenti in grado di influenzare la realtà materiale e strategica di uno Stato. In un contesto in cui i confini tra guerra, terrorismo e attivismo sono sempre più sfumati, anche il cyberspazio è un campo di battaglia.
