По предварительным данным, в результате атаки было поражено более 75% баз и инфраструктуры основной версии и 90% резервных копий и кластеров для восстановления баз данных. В среду генеральный директор Rutube Александр Моисеев сообщил, что первый этап работ завершен.
"Мы успешно завершили первый этап восстановления функционала платформы и намерены запустить видеохостинг сегодня. В данный момент на платформе проводится нагрузочное тестирование и дополнительная проверка на уязвимость", - заявил он.
По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, работа ведется в двух направлениях. "Во-первых, восстанавливается хронология действий, выявление полного перечня элементов инфраструктуры, затронутых инцидентом, собираются данные об особенностях использованного технического инструментария. Эти данные важны для того, чтобы "вычистить" злоумышленников из инфраструктуры и перекрыть возможные пути возвращения. Пока не будет завершено расследование, нельзя дать гарантий, что не произойдет повторная успешная атака. Во-вторых, проводится анализ взлома, изучаются цепочки действий злоумышленника, проводится выявление слабых мест в защите, выявление причин того, почему инцидент не был остановлен на более ранних этапах", - сообщил Новиков.
По словам эксперта, по завершении работ будут сформированы полные рекомендации по тем действиям, которые необходимо предпринять в дальнейшем.
В Positive Technologies рассказали "РГ", что оценить полную картину произошедшего можно будет после завершений расследования, которое может занять от полутора до трех недель. Все обнаруженные технические артефакты будут переданы Rutube, и представители сервиса смогут при необходимости использовать их для дальнейшего поиска злоумышленников вместе с правоохранительными органами.
Главной целью хакеров, которые активизировались в апреле, стал вывод сервиса из строя (нарушение его работоспособности), поэтому атакующие удалили ряд критических данных. Одновременно с атакой злоумышленники выкачали некоторый объем внутренней информации сервиса. Это типичное поведение киберпреступников, данные используются для публичного подтверждения факта атаки и обеспечивают повышенное внимание к атаке.
На следующий день после атаки в соцсетях был опубликован документ, из которого следовало, что руководство Rutube было недовольно сотрудничеством с компанией Group-IB и предъявляло претензии по поводу качества и полноты выполнения работ по обеспечению безопасности видеохостинга. В Rutube не смогли подтвердить "РГ" подлинность документа.
В Group-IB заявили, что продукты компании никогда не использовались "для защиты от кибератак офисной или серверной инфраструктур или отдельных приложений видеохостера Rutube". "Нам неизвестно о происхождении опубликованного в посте письма, его подлинности и реальном авторстве. Однако мы можем утверждать, что оно содержит ряд технических, логических, юридических, математических и даже грамматических ошибок, - сообщил глава Group-IB Дмитрий Волков.
Несмотря на случившееся, Rutube остается претендентом на звание главного российского видеохостинга, отмечает замглавы Комитета Госдумы по информационной политике Антон Горелкин. Причиной, по которой сервис оказался в столь уязвимом положении, депутат считает сложную историю Rutube - сервис несколько раз менял собственников, управляющие команды, команды разработчиков, перестраивал IT-инфраструктуру.
"Я уверен, что менеджмент сделает правильные выводы из этой ситуации. Уверен и в том, что ресурс будет восстановлен и такого впредь не повторится. Я не поддерживаю злорадства некоторых коллег и экспертов - мы должны развивать сильные национальные сервисы, и компетенции для этого у нас есть. Без национальной площадки такого уровня нам не обойтись", - сообщил Горелкин "Российской газете".