- Poruka
- 25.126
Kako javlja britanski IT portal The Register, Air Serbia je već od 4. jula pod ozbiljnim sajber napadom, koji je doveo do kompromitacije Active Directory, višestrukih resetovanja lozinki, gašenja sistema i potencijalne izloženosti ličnih podataka i sve to bez ijednog zvaničnog domaćeg saopštenja za javnost. 
Hronologija napada (prema internoj komunikaciji do koje je The Register došao):
4. jul - Interna poruka: "Kompanija je pod sajber napadom, očekuju se prekidi."
7. jul - Prvi talas masovnog resetovanja lozinki, gašenje servisnih naloga, instalacija sigurnosnog softvera, premeštanje servera u DMZ režim.
9-11. jul - Novi talas intervencija: "Ostavite računare uključene, ali zaključane, da bi IT mogao da interveniše tokom vikenda."
Interna HR poruka: "Ne otvarajte mejlove koji izgledaju kao da ste ih sami sebi poslali!"
Veoma je moguće da je napad započeo kao reconnaissance još početkom 2024. godine, gde je praćena infrastruktura bez otkrivanja. Aktivna faza kompromitacije AD-ja počinje u julu 2025, što ukazuje na pažljivo planiran i fazno izveden napad.
Prema navodima insajdera:
Active Directory je duboko kompromitovan
Tačan trenutak kompromitacije nije poznat jer logovi ne postoje
Sumnja se na kompromitaciju ličnih podataka zaposlenih i putnika
Nema zahteva za otkupninu, ali se sumnja na "infostealer" malver
Napadači su možda prisutni još od početka godine
DDoS napadi su ranije zabeleženi, ali ovo je prvi put da sistemska kompromitacija curi iznutra
Do danas nema zvaničnog saopštenja Air Srbije što u eri GDPR-a i Zakona o zaštiti podataka podiže ozbiljna pitanja o transparentnosti i mogućem zataškavanju incidenta.
Šta znamo o napadu:
Active Directory je "duboko kompromitovan", tvrdi izvor
Logovi nisu sačuvani, tačan momenat upada je nepoznat
Napad traje najmanje od početka jula, a sumnja se da su napadači tiho prisutni još od početka 2024.
VPN klijent je zamenjen zbog ranjivosti
Nema zahteva za otkupninu, ali se sumnja na infostealer malver
Ranije tokom godine zabeleženi su i DDoS napadi
Plata je isplaćena, ali su zaposleni ostali bez pristupa PDF platnim listama
Izvori
https://www.theregister.com/2025/07/16/air_serbia_cyberattack/
https://www.scworld.com/brief/cyberattack-related-disruptions-persist-at-air-serbia
https://www.telegraf.rs/english/414...on about a cyber,indeed the target of hackers.
Hronologija napada (prema internoj komunikaciji do koje je The Register došao):
4. jul - Interna poruka: "Kompanija je pod sajber napadom, očekuju se prekidi."
7. jul - Prvi talas masovnog resetovanja lozinki, gašenje servisnih naloga, instalacija sigurnosnog softvera, premeštanje servera u DMZ režim.
9-11. jul - Novi talas intervencija: "Ostavite računare uključene, ali zaključane, da bi IT mogao da interveniše tokom vikenda."
Interna HR poruka: "Ne otvarajte mejlove koji izgledaju kao da ste ih sami sebi poslali!"
Veoma je moguće da je napad započeo kao reconnaissance još početkom 2024. godine, gde je praćena infrastruktura bez otkrivanja. Aktivna faza kompromitacije AD-ja počinje u julu 2025, što ukazuje na pažljivo planiran i fazno izveden napad.
Prema navodima insajdera:
Active Directory je duboko kompromitovan
Tačan trenutak kompromitacije nije poznat jer logovi ne postoje
Sumnja se na kompromitaciju ličnih podataka zaposlenih i putnika
Nema zahteva za otkupninu, ali se sumnja na "infostealer" malver
Napadači su možda prisutni još od početka godine
DDoS napadi su ranije zabeleženi, ali ovo je prvi put da sistemska kompromitacija curi iznutra
Do danas nema zvaničnog saopštenja Air Srbije što u eri GDPR-a i Zakona o zaštiti podataka podiže ozbiljna pitanja o transparentnosti i mogućem zataškavanju incidenta.
Šta znamo o napadu:
Active Directory je "duboko kompromitovan", tvrdi izvor
Logovi nisu sačuvani, tačan momenat upada je nepoznat
Napad traje najmanje od početka jula, a sumnja se da su napadači tiho prisutni još od početka 2024.
VPN klijent je zamenjen zbog ranjivosti
Nema zahteva za otkupninu, ali se sumnja na infostealer malver
Ranije tokom godine zabeleženi su i DDoS napadi
Plata je isplaćena, ali su zaposleni ostali bez pristupa PDF platnim listama
Izvori
https://www.theregister.com/2025/07/16/air_serbia_cyberattack/
https://www.scworld.com/brief/cyberattack-related-disruptions-persist-at-air-serbia
https://www.telegraf.rs/english/414...on about a cyber,indeed the target of hackers.
