Rutube и атака клонов

Источник
Спустя два дня после взлома Rutube восстановил работу. Компания планирует обратиться в правоохранительные органы для поиска злоумышленников, организовавших атаку. Ответственность за взлом взяла на себя хакерская группировка Anonymous, которая заявила, что фактически уничтожила Rutube.
Сервис Rutube (ООО «Руформ») 9 мая подвергся крупнейшей атаке с момента создания и только 11 мая возобновил работу. В течение трех дней на главной странице видеохостинга висела заглушка, которая сообщала, что «на сайте ведутся технические работы». Ответственность за атаку уже взяла на себя хакерская группировка Anonymous, которая заявила, что после их атаки Rutube, вероятно, исчез навсегда. Как взломали Rutube?

Кто и когда атаковал сервис

О том, что Rutube подвергся кибератаке, видеохостинг сообщил 9 мая около 7 утра (мск). Бывший сотрудник Rutube рассказал Forbes, что специалисты сервиса зафиксировали кибератаку между 3 и 4 часами утра, однако не смогли среагировать оперативно, а через некоторое время «сервис попросту удалился».

Атака была запланирована специально, чтобы сорвать трансляцию Парада Победы, считают в компании. В течение дня в Telegram-канале сервиса «Rutube вещает» появлялись обновления: «специалисты локализовали инцидент», «вся библиотека, включая пользовательский контент, сохранена», «продолжаем вести восстановительные работы». Однако сервис так и не заработал, а интернет-издание The Village со ссылкой на источники сообщило, что Rutube после кибератаки не подлежит восстановлению. В видеохостинге это отрицают: 10 мая пресс-служба Rutube заявила, что в результате атаки было поражено более 75% баз и инфраструктуры основной версии и 90% резервных копий и кластеров для восстановления баз данных. Точные причины, из-за которых сервис вышел из строя, не сообщаются. «Расскажем позже, расследование еще не закончено», — заявили в пресс-службе сервиса Forbes. 
 
Хакеры начали выводить Rutube из строя еще в апреле, рассказал Forbes директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков. Positive Technologies ведет расследование инцидента, оно займет от полутора до трех недель. Главной целью хакеров был вывод сервиса из строя (нарушение его работоспособности), поэтому атакующие удалили ряд критических данных, добавил Новиков. 

По его словам, Rutube подвергся хорошо спланированной, целенаправленной атаке: данные о действиях злоумышленника, которые есть сейчас у Positive Technologies, говорят о том, что атакующие точно знали, кого атаковали, а не поразили сервис случайно. Хакеры выкачивали некоторый объем внутренней информации сервиса, чтобы выложить данные в публичный доступ, продолжает Новиков, так злоумышленники подтвердили атаку и привлекли повышенное массовое внимание к ней.

Определить, кто конкретно стоит за атакой, сейчас невозможно, говорят в Positive Technologies. Компания в первую очередь занимается техническим анализом и противодействием атакующим. «Все технические артефакты будут переданы Rutube, и коллеги смогут при необходимости использовать их для дальнейшего поиска злоумышленников вместе с правоохранительными органами», — сказал Новиков. В пресс-службе Rutube рассказали Forbes, что напишут заявление в правоохранительные органы. 

Что стало известно из утечки Rutube

В день взлома Rutube в аккаунте @sudormRF6 в Twitter появились скриншоты из внутренней системы сервиса со списком каналов на платформе. Также в этом аккаунте появилось письмо бывшего гендиректора Rutube Алексея Назарова в ФСБ, в котором он якобы жалуется на услуги компании по кибербезопасности Group-IB (первой об этом написала «Русская служба Би-би-си»). По словам Назарова, сотрудники Group-IB «умышленно, с целью получения прибыли ввели в заблуждение представителей АО «ГПМХ» (АО «Газпром-Медиа Холдинг», владеет Rutube. — Forbes) и ООО «Руформ», заключив не связанные между собой два договора на поставку оборудования и программного обеспечения, интеграция которого невозможна без дополнительных расходов в размере свыше 80 млн рублей». Назаров отказался от комментариев.

Group-IB прокомментировала утечку в среду, 11 мая. «Никаких претензий к нам со стороны правоохранительных органов ни на одно юрлицо Group-IB по взаимодействию с ООО «Руформ» не поступало», — отметили в компании.

В заявлении также говорится, что Group-IB проводила ряд тестирований на проникновение для ООО «Руформ» до 2021 года. После этого Rutube получил в феврале 2021-го отчет с  рекомендациями по усилению мер защиты. Были ли выполнены эти рекомендации, Group-IB неизвестно, следует из релиза компании. Продукты Group-IB не используются и ранее не использовались для защиты от кибератак офисной или серверной инфраструктур или отдельных приложений Rutube. Кроме того, Group-IB не привлекали к реагированию на инцидент 9 мая, отметили в компании. 

Что не так с безопасностью Rutube

Бывший сотрудник Rutube рассказал Forbes, что еще в 2021 году аудит видеосервиса по кибербезопасности, кроме Group-IB, проводили Positive Technologies, Digital Security и «Ростелеком»; эти компании (Forbes отправил запросы их представителям) выявили несколько уязвимостей. По результатам тестовых атак сам сайт взломать не получилось, однако специалисты обнаружили ряд уязвимостей в офисной инфраструктуре компании, следует из данных аудита, с которыми ознакомился бывший сотрудник Rutube.

Кибератаке подверглись именно те офисные ресурсы, которые были указаны в отчетах, подчеркнул собеседник Forbes. Кроме того, по результатам аудита Group-IB предупреждала, что атака возможна именно через офисные ресурсы Rutube, отметил источник. По его словам, офисную инфраструктуру можно было отделить от сайта и защищать отдельно, однако в компании этого так и не сделали. На исправление выявленных по итогам аудита уязвимостей должно было уйти около трех — шести месяцев. «Однако вскоре в компании сменилось руководство, и многие работы по модернизации сервиса, в том числе по исправлению уязвимостей, приостановили», — сказал собеседник Forbes. 

9 мая злоумышленники не только проникли в систему, получив доступ к админке, но и модифицировали исходный код видеосервиса так, чтобы он удалял данные из файлохранилища Rutube, утверждает бывший сотрудник сервиса. Он полагает, что для такой атаки нужно было «хорошо понимать, как именно работает инфраструктура сервиса, поэтому у злоумышленников либо был инсайдер в компании, либо доступ к технической документации и данным аудита». Другой бывший сотрудник Rutube также предположил, что атака могла произойти именно через офисную инфраструктуру компании, однако «уязвимости, выявленные в результате аудита, все же успели устранить до атаки». Он считает, что атака произошла с помощью инсайдера — злонамеренно или случайно (сотрудник использовал зараженную флешку или открыл фишинговое письмо). По словам второго бывшего сотрудника Rutube, злоумышленники не смогли удалить исходный код сервиса, однако в результате инцидента сервис все равно потеряет часть контента.

Что будет с Rutube дальше

Rutube завершил первый этап восстановления функционала платформы и запустил видеохостинг 11 мая, говорится в заявлении гендиректора сервиса Александра Моисеева. 

Новиков из Positive Technologies говорит, что компания ведет сейчас работы по двум направлениям. Первое связано с восстановлением хронологии действий злоумышленника, сбором данных о том, какие элементы инфраструктуры затронуты атакой. «Пока не будет завершено расследование, нельзя дать гарантий, что не произойдет повторная успешная атака», — говорит Новиков. Второе направление включает в себя анализ действий злоумышленника, выявление слабых мест в защите, поиск причин, по которым инцидент не был остановлен на более ранних этапах, и т. д.

Чем больше времени занимает восстановление сервиса, тем значительнее его повреждения, считает исполнительный директор Общества защиты интернета Михаил Климарев (признан в России иноагентом). «У Rutube и так реноме было не очень, поскольку ни по качеству контента, ни по технологиям до русского аналога YouTube он никак не дотягивал. После подобного взлома его репутация попросту уничтожена. Видеопродакшен — это дорогая вещь, и ни рекламодатели, ни блогеры не захотят сотрудничать с компанией, которая может допустить удаление абсолютно всей информации», — говорит Климарев. Он добавил, что Rutube и ранее финансово не окупался, поскольку рекламодателям вместо потенциальной аудитории в 7,7 млрд человек со всего мира предлагают аудиторию в 144 млн жителей России.

За последние две-три недели злоумышленники атаковали еще несколько крупных российских компаний, рассказал главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян. «Все они происходили по похожей схеме: в инфраструктуру внедрялось вредоносное программное обеспечение, которое изучало систему и ее работу, а затем шифровало и уничтожало бэкапы. Я подозреваю, что с Rutube произошло что-то похожее», — считает Казарян. Если у компании действительно остались резервные копии ресурса, на его восстановление уйдет около трех недель, оно может обойтись в 100-150 млн рублей. «А затем еще потребуются затраты на восстановление утерянных данных и улучшение информационной безопасности», — полагает Казарян.
Персоны Компании
Мордашову больше не вещается
Миллиардер вышел из капитала Национальной медиа группы. НМГ и входящие в нее телеканалы были упомянуты в числе обоснований введения санкций ЕС против Мордашова.
У «Газпром-медиа» хакнули Rutube
Видеохостинг подвергся масштабной атаке.
Сотрудники Lenta.ru раскритиковали действия Путина
На главной странице Lenta.ru 9 мая появилось несколько материалов, в которых критиковали российскую военную операцию на Украине и Владимира Путина.
Чемезов разинул рот на "Ростелеком"
За новым проектом "НПЦ "Элвис" и "Ростелекома" маячит силуэт главы "Ростеха" Сергея Чемезова, давно мечтающего получить контроль над российской телекоммуникационной компанией.
Россияне зайдут на Pornhub слева
Мошенники предлагают доступ к ушедшим из России сервисам.
Телеграм-канал The Moscow Post: сообщения от 28.04.2022
Сообщения канала за 28 апреля 2022 года.
Российские олигархи подсели на Bidspirit
Более 90% российских аукционов по продаже предметов искусства и антиквариата проходят на международной онлайн-платформе Bidspirit, годовой оборот ее российской площадки достиг 70 миллионов долларов.
Дело "Ланита" запахло гнильцой
Прилагаются большие усилия, чтобы дело о хищении более 600 миллионов рублей из госбюджета было развалено. И не дошло до основных бенефициаров, среди которых - Филипп Генс, Александр Новак и Александр Хлопонин.
Телеграм-канал Компромат 2.0.: сообщения от 17.04.2022
Сообщения канала за 17 апреля 2022 года.
Телеграм-канал The Moscow Post: сообщения от 15.04.2022
Сообщения канала за 15 апреля 2022 года.
Телеграм-канал Банкста: сообщения от 14.04.2022
Сообщения канала за 14 апреля 2022 года.
Телеграм-канал The Moscow Post: сообщения от 12.04.2022
Сообщения канала за 12 апреля 2022 года.
До Nokiа теперь не дозвониться
Nokia уходит из России. Компания занимается производством телекоммуникационного оборудования, телефоны под брендом Nokia выпускает компания HMD.
Олег Туманов сделал себе гуманное харакири
12 лет назад Олег Туманов создал первый в России онлайн-кинотеатр ivi. 11 апреля компания объявила об уходе Туманова с поста гендиректора. Эту должность займет его зам Николай Васильков.
Телеграм-канал Банкста: сообщения от 07.04.2022
Сообщения канала за 07 апреля 2022 года.
От Брина до Швидлера - урожденные россияне, ставшие миллиардерами
Самый молодой криптомиллиардер, американский дизайнер, совладелец Home Depot, партнер Абрамовича и другие выходцы из России — в мировом рейтинге миллиардеров Forbes.
«Триколор» ищет спутника с деньгами
Телевещатель запросил господдержки.
«Яндекс» и «Аэрофлот» стерли директоров из доступа
Российские компании на своих сайтах начали скрывать разделы с именами руководителей. И если банкам ЦБ позволил не раскрывать информацию о правлении, то «Яндекс», «Аэрофлот» и «Сухой» не объясняли свое решение.