Air Serbia pod sajber napadom već 19 dana, AD kompromitovan, javnost bez informacija.

[BLANKED]

Kako javlja britanski IT portal The Register, Air Serbia je već od 4. jula pod ozbiljnim sajber napadom, koji je doveo do kompromitacije Active Directory, višestrukih resetovanja lozinki, gašenja sistema i potencijalne izloženosti ličnih podataka i sve to bez ijednog zvaničnog domaćeg saopštenja za javnost.

Hronologija napada (prema internoj komunikaciji do koje je The Register došao):

4. jul - Interna poruka: "Kompanija je pod sajber napadom, očekuju se prekidi."

7. jul - Prvi talas masovnog resetovanja lozinki, gašenje servisnih naloga, instalacija sigurnosnog softvera, premeštanje servera u DMZ režim.

9-11. jul - Novi talas intervencija: "Ostavite računare uključene, ali zaključane, da bi IT mogao da interveniše tokom vikenda."

Interna HR poruka: "Ne otvarajte mejlove koji izgledaju kao da ste ih sami sebi poslali!"


Veoma je moguće da je napad započeo kao reconnaissance još početkom 2024. godine, gde je praćena infrastruktura bez otkrivanja. Aktivna faza kompromitacije AD-ja počinje u julu 2025, što ukazuje na pažljivo planiran i fazno izveden napad.


Prema navodima insajdera:

Active Directory je duboko kompromitovan

Tačan trenutak kompromitacije nije poznat jer logovi ne postoje

Sumnja se na kompromitaciju ličnih podataka zaposlenih i putnika

Nema zahteva za otkupninu, ali se sumnja na "infostealer" malver

Napadači su možda prisutni još od početka godine

DDoS napadi su ranije zabeleženi, ali ovo je prvi put da sistemska kompromitacija curi iznutra


Do danas nema zvaničnog saopštenja Air Srbije što u eri GDPR-a i Zakona o zaštiti podataka podiže ozbiljna pitanja o transparentnosti i mogućem zataškavanju incidenta.

Šta znamo o napadu:

Active Directory je "duboko kompromitovan", tvrdi izvor

Logovi nisu sačuvani, tačan momenat upada je nepoznat

Napad traje najmanje od početka jula, a sumnja se da su napadači tiho prisutni još od početka 2024.

VPN klijent je zamenjen zbog ranjivosti

Nema zahteva za otkupninu, ali se sumnja na infostealer malver

Ranije tokom godine zabeleženi su i DDoS napadi

Plata je isplaćena, ali su zaposleni ostali bez pristupa PDF platnim listama

Izvori
https://www.theregister.com/2025/07/16/air_serbia_cyberattack/

https://www.scworld.com/brief/cyberattack-related-disruptions-persist-at-air-serbia

https://www.telegraf.rs/english/414...on about a cyber,indeed the target of hackers.

 

[bird again]

Dogadja se i mnogo boljima od Air Serbia, mada oni bi to resili do sada.
Ovi nasi nisu mozda ni svesni problema ili rizika

 

[SajaBg]

Dogadja se i mnogo boljima od Air Serbia, mada oni bi to resili do sada.
Ovi nasi nisu mozda ni svesni problema ili rizika

Ne može država kojoj je nacionalna strategija bežanje pameti u inostranstvo i uvoza migranata za rudarske poslove, da bude svesna bilo kog IT problema.

A pogotovo da ga kvalitetno reši. I to će biti sve gore.

 

[DarkMoon]

Dogadja se i mnogo boljima od Air Serbia, mada oni bi to resili do sada.
Ovi nasi nisu mozda ni svesni problema ili rizika

To znaci da ciste papire, tako su radili i u EPS-u prosle godine..."sajber napad".

 

[bird again]

To znaci da ciste papire, tako su radili i u EPS-u prosle godine..."sajber napad".

To znaci da su nesposobni.
A pre svega toga i da imaju preca posla - haranje i unistavanje Srbije na vise nivoa uz dobru sopstvenu nadoknadu.

 

[Sizif]

7. jul - Prvi talas masovnog resetovanja lozinki, gašenje servisnih naloga, instalacija sigurnosnog softvera, premeštanje servera u DMZ režim.

Zašto bi neko premestio AD u DMZ zonu osim ako nije poludeo potpuno

 

[Frederick_]

Eto, kad nece da im neka postena firma poput moje odradi auditing sekjuritija, nego hoce da ustede pare.

Pa ko ne plati na mostu, plati trostruko na ćupriji

 

[mario80]

Air serbia najgora kompanija na svetu svaki let im kasni po par sati ili odlažu zbog "kvarova" pa spajaju više letova u jedan. AIR KOKOŠARI!

 

[lionagate]

Ne može država kojoj je nacionalna strategija bežanje pameti u inostranstvo i uvoza migranata za rudarske poslove, da bude svesna bilo kog IT problema.

A pogotovo da ga kvalitetno reši. I to će biti sve gore.

Zasto bi drzava resavala softwerske probleme kompanije koja ima svoje sluzbe za bavljenje IT-om? A ako vec ne mogu IT-jevci iz Air Serbie da rese taj problem postoje firme koje se ozbiljno bave tim, cak i u Srbiji.

 

[bird again]

Zasto bi drzava resavala softwerske probleme kompanije koja ima svoje sluzbe za bavljenje IT-om? A ako vec ne mogu IT-jevci iz Air Serbie da rese taj problem postoje firme koje se ozbiljno bave tim, cak i u Srbiji.

Kakvi IT-jevci u Air Serbia?
To neki vic ?

 

[lionagate]

Kakvi IT-jevci u Air Serbia?
To neki vic ?

Imaju odeljenje za IT sa 30-tak zaposlenih. Neki za razliku od tebe imaju ozbiljne skole u oblasti IT-ja, ETF i FON. Doduse, reci ces mozda, kakve su to skole, zasto nemaju nijednog sa zavrsenim Stanford-om. No, Srbija nema bolje skole od te dve za tu struku.

( Moj brat od rodjenog ujaka radi tamo, zavrsio je ETF, nije bas u cvetu mladosti ali nije bas ni apsolutni shalabajzer - to je moj izvor o njihovom IT-ju)


Kao sto rekoh, postoje firme i u Srbiji koje se bave cyber securitijem (ako firmin IT to ne moze da resi) a u krajnjem slucaju uzmes jednu od vecih i boljih evropskih kompanija ako su ovi u Srbiji shabani.

 

[bird again]

Imaju odeljenje za IT sa 30-tak zaposlenih. Neki za razliku od tebe imaju ozbiljne skole u oblasti IT-ja, ETF i FON. Doduse, reci ces mozda, kakve su to skole, zasto nemaju nijednog sa zavrsenim Stanford-om. No, Srbija nema bolje skole od te dve za tu struku.

( Moj brat od rodjenog ujaka radi tamo, zavrsio je ETF, nije bas u cvetu mladosti ali nije bas ni apsolutni shalabajzer - to je moj izvor o njihovom IT-ju)


Kao sto rekoh, postoje firme i u Srbiji koje se bave cyber securitijem (ako firmin IT to ne moze da resi) a u krajnjem slucaju uzmes jednu od vecih i boljih evropskih kompanija ako su ovi u Srbiji shabani.

Sve sami partijski uposlenici.
Odakle ti znas koju ja skolu imam zavrsenu?
Mnogo mi se ti pravis vazan.

 

[mario80]

It sektor po državnim firmama je rezervisan uglavnom za potpuno nepismene ljude iz sns struktura jedan nivo više od komunalnih službi.

 

[lionagate]

Sve sami partijski uposlenici.
Odakle ti znas koju ja skolu imam zavrsenu?
Mnogo mi se ti pravis vazan.

Odavno u Air Serbiji ne zaposljavaju na partijsku pripadnost, bar u strucnim oblastima. Ne pomaze ti sto si clan partije ako ne umes da uradis network administraciju ili odrzavas sofwerski paket, takodje clanovi partije ne upravljaju avionima ili raznose hranu po avionu. Doduse, AirSerbija je smanjila broj zaposlenih pa cesto koristi i usluge trecih kompanija te za usluge IT-ja (izradu korisnickog sofwera, cloude itd) placa drugim kompanijama, takodje iznajmljuje posade od drugih kompanija, placa usluge keteringa i odrzavanja trecim kompanijam itd. Zato i posluju pozitivno, neko (Marek) se setio da visak zaposlenih kosta vise od placanja usluga eksternim kompanijama.

100% nemas ETF ili FON, mozda imas Megableju. A nervira me kada ljudi kao ti sa nipodostavanjem pisu o ljudima koji su obrazovani iz odgovarajucih oblasti i imaju mnogo vise znanja o tome. Bitno je opljunuti cak i da blage veze nemas o tome sta pljujes.

 

[bird again]

Svaka ti je zlata vredna.
Megableju imas ti kad umes tako da vredjas.

 

[lionagate]

Svaka ti je zlata vredna.
Megableju imas ti kad umes tako da vredjas.

Nisam ja bitan u ovoj prici, pisemo o ljudima iz IT-ja Air Serbije. Pa posto ti tvrdis da su oni partijski ljudi, bez obrazovanja i veze sa mozgom nemaju onda je bilo jednostavno pitanje: ko si ti i sa kavim obrazovanjem iz te oblasti da to tvrdis, koji ti je uvid ko radi u IT-ju Air Sebije. Nisi pruzio nijedan mig da vidimo da imas bilo kakvu konkretnu informaciju ili da si strucan u cyber sekjutitiju te da si iznad ljudi koji rade na tome u ovom konkretnom slucaju. No, strucan si da opljunes.

Dakle, iako su se mozda (napominjem mozda) zaposlili preko partije (koje? moj brat u Air Serbiji sedi jos od vremena kada se zvala JAT, recimo od 2004/05) ipak imaju neku skolu i neko znanje. No, tako male kompanije nemaju snazno razvijen IT u kom sede vrhunski strucnjaci, zato i saradjuju sa profesionalnim kompanijama iz raznih oblasti, u danasnje vreme mnoge kompanije zive od usluge u usko specijalizovanim oblastima IT-ja.

 

[bird again]

Tek ti stari kadrovi koji na svasta pristaju “da se uklope”.. no comment…

Ja znam nekog ko je tamo radio, a vise ne radi jer je karakter koji ne trpi ponizavanja.

Zato ovo pisem.

Moje obrazovanje je moja licna stvar. Da si bio kulturniji i ljubazniji napisala bih.

Nije bitno u kojoj sam ja struci.

 

[lionagate]

Tek ti stari kadrovi koji na svasta pristaju “da se uklope”.. no comment…

Ja znam nekog ko je tamo radio, a vise ne radi jer je karakter koji ne trpi ponizavanja.

Zato ovo pisem.

Moje obrazovanje je moja licna stvar. Da si bio kulturniji i ljubazniji napisala bih.

Nije bitno u kojoj sam ja struci.

Ti znas nekoga ko je tamo radio (verovatno u opstim sluzbama), ja znam bar 20 ljudi koji su tamo radili a neki rade i danas. I svi su inzenjeri ili tehnicari, vazduhoplovci ili elektro.

Koristis neke opste fraze "ne trpe ponizavanja", "uklapaju se" itd. Mozda je tako u opstim sluzbama i komercijali ali nije u tehnickim i letackim. Ljudi iz takvih sluzbi odlaze zbog boljih plata a ne zbog toga sto se "ne zele ponizavati".

Zato je tvoje pisanje o strucnosti ili skoli nekoga ko radi u IT sluzbi Air Srbije samo pljuvanje jer apsolutno nista ne znas o tome, sama (nisam znao da si zenski rod) si napisala da tvoje obrazovanje nije vazno ni merodavno u svemu ovome nego celu svoju pricu zasnivas na karakteru jednog coveka koji je radio tamo.

Air Serbija je kompanija koja zadnjih par godina nema dotacije drzave, posluju sa profitom i jedna su od najboljih kompanija u Srbiji. Jer, gle, imaju za CEO stranca koji ocito nije kadar vladajuce stranke. Pa zasto bi onda imali partijske kadrove na mestu network administratora recimo? Jbg, covek koji upravlja sa milionima nije clan partije nego sposoban menadzer a na daleko nizoj poziciji network administratora koji prati cyber protokole i chuka ovlascenja na mrezi je clan partije, gde je tu logika? Zar taj CEO ne bi insistirao da posao u IT-ju obavlja neko ko ume da radi taj posao na zadovoljavajucem nivou?

 

[bird again]

Ti znas nekoga ko je tamo radio (verovatno u opstim sluzbama), ja znam bar 20 ljudi koji su tamo radili a neki rade i danas. I svi su inzenjeri ili tehnicari, vazduhoplovci ili elektro.

Koristis neke opste fraze "ne trpe ponizavanja", "uklapaju se" itd. Mozda je tako u opstim sluzbama i komercijali ali nije u tehnickim i letackim. Ljudi iz takvih sluzbi odlaze zbog boljih plata a ne zbog toga sto se "ne zele ponizavati".

Zato je tvoje pisanje o strucnosti ili skoli nekoga ko radi u IT sluzbi Air Srbije samo pljuvanje jer apsolutno nista ne znas o tome, sama (nisam znao da si zenski rod) si napisala da tvoje obrazovanje nije vazno ni merodavno u svemu ovome nego celu svoju pricu zasnivas na karakteru jednog coveka koji je radio tamo.

Air Serbija je kompanija koja zadnjih par godina nema dotacije drzave, posluju sa profitom i jedna su od najboljih kompanija u Srbiji. Jer, gle, imaju za CEO stranca koji ocito nije kadar vladajuce stranke. Pa zasto bi onda imali partijske kadrove na mestu network administratora recimo? Jbg, covek koji upravlja sa milionima nije clan partije nego sposoban menadzer a na daleko nizoj poziciji network administratora koji prati cyber protokole i chuka ovlascenja na mrezi je clan partije, gde je tu logika? Zar taj CEO ne bi insistirao da posao u IT-ju obavlja neko ko ume da radi taj posao na zadovoljavajucem nivou?

CEO je najpovezaniji (a ko bi drugi u Srbiji) sa vlastima.
Pisala sam o masinskom inzenjeru koji je bio jedan od najkvalitetnijih ljudi tamo..,
Ali, nije u Sns i nasao je naravno bolji posao…

 

[lionagate]

CEO je najpovezaniji (a ko bi drugi u Srbiji) sa vlastima.
Pisala sam o masinskom inzenjeru koji je bio jedan od najkvalitetnijih ljudi tamo..,
Ali, nije u Sns i nasao je naravno bolji posao…

Pazi kada je pola mojih drugara za nekadasnjeg Aero-kosmonautickog smera (kasnije su ga nazvali Vazduhoplovni) Masinskog Fakulteta u BGD radilo u JAT Tehnici, odnosno JAT-u. Od 2008-me kad je JAT Tehnika odvojena od buduce Air Serbije kao nezavisna firma nijedan vise nije radio u Air Serbiji, neki su ostali u JAT Tehnici ali vecina je otisla u inostranstvo ili rade za MTU i slicne kompanije koje imaju svoje radionice na surcinskom aerodromu.
Masinski inzenjeri vec preko 15 godina nemaju sta da traze u Air Serbijii, avione im odrzavaju trece kompanije, kompanije sa kojima imaju ugovore o odrzavanju letilica. Tako da ne znam sta je tvoj poznanik uopste radio u Air Serbiji kao masinski inzenjer (cega? koje struke?) i zasto su ga pritiskali ako je uopste imao posao vezan sa strukom. Mozda je i on u toj Air Serbiji radio kao partijski kadar neke stare garniture? Ali 100% nije radio na odrzavanju motora i samih letilica.

I dalje stoji da je Air Sebia firma koja posluje sa neto profitom, cak i da je tamo masovno partijsko zaposljavanje.

 

[bird again]

Nateraces me da mu napisem ime I prezime (sto mu ne bi smetalo-boli ga uvo za Srbiju odavno…)

Nisi znao o kome pisem. Ok.
A nije te sramota da prozivas?
Bez argumenata. Naslepo.

Ne bih nastavljala dalji razgovor na ovu temu.

Poslednji put si me zbog nika isprozivao da sam lgbt, zakljucujem da imas taj iritantni stav, a meni se takvi ljudi ne svidjaju.

Izvodis zakljucke naslepo na osnovu pretpostavki svojih i drzis se njih tvrdoglavo.
Nemam ti sta vise za reci, i ovo mi je bilo mnogo za nekog ko me ne postuje i ponasa se tako nadmeno.

 

[BLANKED]

Nije nuzno da se ovako sve bas desilo ali iz informacija na internetu imam neki analiticki scenario

As of July 14, the source claimed the airline's blue team has not fully eradicated the attackers' access to the company network and is not sure when the attackers broke in, due to a lack of security logs,
1. Nedostatak bezbednosnih logova (SIEM/EDR): IT tim nije imao sacuvane bezbednosne logove sto je osnovni bezbednosni standard oni bi utvrdili kako, gde i kad je napad poceo - ocigledno da nemaju ili nemaju pravilno konfigurisan SIEM log sistem sto ukazuje na potpunu nesposobnost da se izvrsi forenzicka analiza.

On July 11, IT issued a third wave of password resets,
2. Visestruki reseti lozinki u 5 dana, ukazuje da je napadac imao pristup posle svakog reseta "uporni backdoor" / persistence i ne uspevaju da ga se otarase, istovremeno to je znak da nemaju mehanizam ili metodu da provere jel uopste prisutan, sto bi znacilo da su se nadali da ce sve resiti nakon password reseta, veoma je neozbiljno da resetovanjem lozinki ustanovis da je sada sve u redu.

IT also installed a new VPN client "due to identified security vulnerabilities
3. IT tim menja VPN klijent "zbog identifikovanih ranjivosti" - ali tek kada je napad u toku, vrlo verovatno da vpn nije bio patchovan na vreme

Additionally, internet access was removed for all endpoints, leaving only a certain few whitelisted pages
4. Gasenje interneta za sve korisnike i premestanje servera u DMZ = drasticna i panicna mera, nemaju finu / granularnu kontrolu nad mrezom.

staff were asked to leave their PCs locked but open before heading home for the weekend
5. Zaposleni su zamoljeni da racunare ostave “zakljucane ali ukljucene” da bi IT mogao da im pristupi. - ovo onda govori da oni nemaju EDR ili XDR resenje sa centralizovanim pristupom sto je metoda iz "90 - ih godina.

6. "Upozorenje HR "Ne otvarajte mejlove koji izgledaju kao da ste ih sami sebi poslali!"" ovo ne samo da govori da je aktivna phishing kampanja u toku vec na verovatno potencijalno losu DNS konfiguraciju koja omogucuje ovaj "spoof"

Dokaz:
Njihov SPF je podesen na ~all (SoftFail) sto znaci da napadac tehnicki moze da spoofuje njihov domen ali ce mejl biti oznacen samo kao sumnjiv umesto da podese na -all (HardFail) sto bi odbacilo automatski svaku poruku koja ne dolazi od ovlascenog servera.

7. Njihova IP adresa glavnog domena je sakrivena iza cloudflare IP adrese sto je dobra praksa, ali cim pingujes bilo koji njihov sub domen otkriva se njihova prava javna IP adresa sto je ozbiljan tehnicki propust, napadac uz minimalni trud odmah zna gde se nalazi pravi server.
To je kao da si stavio ogromnu kapiju na ulazu u dvoriste ali zaborvais da stavis ogradu.


8. Kompromitovan Active Directory ovo je gori scenario od ransomware napada, ransomware je bucan, zakljucava fajlove koje mozes da vratis iz backup-a i znas kad se desio napad
Ovde napadac kontrolise kompletnu IT infrastrukturu i on postaje Administrator svih Administratora, ne znas kada je sve pocelo ni sta je sve zarazeno, backdoor / napadac moze tu da bude prisutan mesecima pa i godinama i on je fakticki vlasnik cele mreze koji preuzima kontrolu bez alarmiranja i sve to vreme moze da nadgleda i krade podatke.

Omogucuje mu se lateralno kretanje, kreiranje laznih i nevidljivih Admin naloga (otuda moguce i ovoliko uzaludno resetovanje lozinki) kreiranje GPO politika pokretanje malicioznih skripti, iskljucivanje antivirusa, iskljucivanje / modifikacija firewall-a itd, u najgorem slucaju moze da kreira sebi Kerberos "Golden Tickets" ima neogranicen pristup bez da koristi lozinke

U najgorem slucaju rebuild kompletnog AD domena sto je veooooma bolna i duuga procedura

Ali jos gore od svega ako je napadac vec izveo eksfiltraciju podataka a definitivno jeste ako je ovo sve tacno tu odlaze licni podaci putnika, JMBG, kontakti, adrese, transakcije, korisnicki nalozi, plus brdo informacija o mreznoj infrastrukturi .... verovatno ce da ih ucenjuje

 

[lionagate]

Nateraces me da mu napisem ime I prezime (sto mu ne bi smetalo-boli ga uvo za Srbiju odavno…)

Nisi znao o kome pisem. Ok.
A nije te sramota da prozivas?
Bez argumenata. Naslepo.

Ne bih nastavljala dalji razgovor na ovu temu.

Poslednji put si me zbog nika isprozivao da sam lgbt, zakljucujem da imas taj iritantni stav, a meni se takvi ljudi ne svidjaju.

Izvodis zakljucke naslepo na osnovu pretpostavki svojih i drzis se njih tvrdoglavo.
Nemam ti sta vise za reci, i ovo mi je bilo mnogo za nekog ko me ne postuje i ponasa se tako nadmeno.

Ko proziva naslepo? Ja sam te lepo pitao koje je on struke, masinski inzenjer je sirok pojam (mozda je bio HVAC koji je radio na odrzavanju njihovih kancelarija na Novom Beogradu, mozda inzenjer za motorna vozila koji je radio na voznom parku Air Srbije ali 100% nije radio na motorima ili avionici letelica), sta je konkretno i kada radio u Air Srbiji ali se svodi da je on bio "vodeci" inzenjer... zato jos jednom pitanje gde i na kojoj poziciji i koje struke je taj navodni inzenjer? Ocito je da ti apsolutno nista ne znas ni o Air Srbiji ni o JAT Tehnici, ali i o pojmu inzenjera i o masinskoj struci. Zato i sumnjam u postojanje tvog "inzenjera".

OK, odosmo i ti i ja.

 

[lionagate]

U najgorem slucaju rebuild kompletnog AD domena sto je veooooma bolna i duuga procedura

Ali jos gore od svega ako je napadac vec izveo eksfiltraciju podataka a definitivno jeste ako je ovo sve tacno tu odlaze licni podaci putnika, JMBG, kontakti, adrese, transakcije, korisnicki nalozi, plus brdo informacija o mreznoj infrastrukturi .... verovatno ce da ih ucenjuje

Sto se verovatno vec i desava, samo sto nije za javnost jer nijedna kompanija ne prica okolo o tome kako je ucenjuju.

Evo i braca Rusi pisu o AIR SERBIA

 

[bird again]

Ko proziva naslepo? Ja sam te lepo pitao koje je on struke, masinski inzenjer je sirok pojam (mozda je bio HVAC koji je radio na odrzavanju njihovih kancelarija na Novom Beogradu, mozda inzenjer za motorna vozila koji je radio na voznom parku Air Srbije ali 100% nije radio na motorima ili avionici letelica), sta je konkretno i kada radio u Air Srbiji ali se svodi da je on bio "vodeci" inzenjer... zato jos jednom pitanje gde i na kojoj poziciji i koje struke je taj navodni inzenjer? Ocito je da ti apsolutno nista ne znas ni o Air Srbiji ni o JAT Tehnici, ali i o pojmu inzenjera i o masinskoj struci. Zato i sumnjam u postojanje tvog "inzenjera".

OK, odosmo i ti i ja.

Sad i da zelim napisati ko je i sta je bio u JAT-u -nema sanse .
Svi su culi za njega (cak i ti jer vidim da te “boli” ova tema iz nekog razloga).

O masinstvu s tobom tek nemam nameru da diskutujem (raduje me ipak sto si cuo za HVAC sisteme ).

Puno te pozdravljam.
Siri pozitivu, ne tu ogorcenost, bolji je osecaj