11.05.2022 21:27

    Rutube столкнулся с одной из мощнейших атак в истории Рунета

    В ночь на 9 мая видеохостинг Rutube подвергся сильнейшей APT-атаке. Инцидент стал одним из самых крупных в истории Рунета и привел к потере доступа к платформе. Работа по восстановлению продолжалась трое суток. Вновь заработал сервис лишь вечером в среду
    В ночь на 9 мая видеохостинг Rutube подвергся сильнейшей APT-атаке (Advanced Persistent Threat, разновидность целенаправленной хакерской атаки в отношении конкретной компании или отрасли). Инцидент стал одним из самых крупных в истории Рунета и привел к потере доступа к платформе. Работа по восстановлению продолжалась трое суток. Вновь заработал сервис лишь вечером в среду. Основная сложность, по мнению технических специалистов, заключалась в восстановлении инфраструктуры, представляющей собой сотни серверов, каждый из которых приходится восстанавливать в ручном режиме.
    Сергей Куксин
    Сергей Куксин

    По предварительным данным, в результате атаки было поражено более 75% баз и инфраструктуры основной версии и 90% резервных копий и кластеров для восстановления баз данных. В среду генеральный директор Rutube Александр Моисеев сообщил, что первый этап работ завершен.

    "Мы успешно завершили первый этап восстановления функционала платформы и намерены запустить видеохостинг сегодня. В данный момент на платформе проводится нагрузочное тестирование и дополнительная проверка на уязвимость", - заявил он.

    По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, работа ведется в двух направлениях. "Во-первых, восстанавливается хронология действий, выявление полного перечня элементов инфраструктуры, затронутых инцидентом, собираются данные об особенностях использованного технического инструментария. Эти данные важны для того, чтобы "вычистить" злоумышленников из инфраструктуры и перекрыть возможные пути возвращения. Пока не будет завершено расследование, нельзя дать гарантий, что не произойдет повторная успешная атака. Во-вторых, проводится анализ взлома, изучаются цепочки действий злоумышленника, проводится выявление слабых мест в защите, выявление причин того, почему инцидент не был остановлен на более ранних этапах", - сообщил Новиков.

    По словам эксперта, по завершении работ будут сформированы полные рекомендации по тем действиям, которые необходимо предпринять в дальнейшем.

    В Positive Technologies рассказали "РГ", что оценить полную картину произошедшего можно будет после завершений расследования, которое может занять от полутора до трех недель. Все обнаруженные технические артефакты будут переданы Rutube, и представители сервиса смогут при необходимости использовать их для дальнейшего поиска злоумышленников вместе с правоохранительными органами.

    Главной целью хакеров, которые активизировались в апреле, стал вывод сервиса из строя (нарушение его работоспособности), поэтому атакующие удалили ряд критических данных. Одновременно с атакой злоумышленники выкачали некоторый объем внутренней информации сервиса. Это типичное поведение киберпреступников, данные используются для публичного подтверждения факта атаки и обеспечивают повышенное внимание к атаке.

    На следующий день после атаки в соцсетях был опубликован документ, из которого следовало, что руководство Rutube было недовольно сотрудничеством с компанией Group-IB и предъявляло претензии по поводу качества и полноты выполнения работ по обеспечению безопасности видеохостинга. В Rutube не смогли подтвердить "РГ" подлинность документа.

    В Group-IB заявили, что продукты компании никогда не использовались "для защиты от кибератак офисной или серверной инфраструктур или отдельных приложений видеохостера Rutube". "Нам неизвестно о происхождении опубликованного в посте письма, его подлинности и реальном авторстве. Однако мы можем утверждать, что оно содержит ряд технических, логических, юридических, математических и даже грамматических ошибок, - сообщил глава Group-IB Дмитрий Волков.

    Чтобы вывести сервис из строя, хакеры удалили ряд критических данных. Кроме того, киберпреступники выкачали часть внутренней информации сервиса

    Несмотря на случившееся, Rutube остается претендентом на звание главного российского видеохостинга, отмечает замглавы Комитета Госдумы по информационной политике Антон Горелкин. Причиной, по которой сервис оказался в столь уязвимом положении, депутат считает сложную историю Rutube - сервис несколько раз менял собственников, управляющие команды, команды разработчиков, перестраивал IT-инфраструктуру.

    "Я уверен, что менеджмент сделает правильные выводы из этой ситуации. Уверен и в том, что ресурс будет восстановлен и такого впредь не повторится. Я не поддерживаю злорадства некоторых коллег и экспертов - мы должны развивать сильные национальные сервисы, и компетенции для этого у нас есть. Без национальной площадки такого уровня нам не обойтись", - сообщил Горелкин "Российской газете".