Positive Technologies представила предварительные результаты расследования атаки на Rutube11.05.2022 15:01

a3a4c630d16cbf00b5db28e89494a2ad.jpeg

В ответ на запрос информационной службы Хабра компания Positive Technologies, занимающаяся расследованием атаки совместно со специалистами Rutube, предоставила предварительные результаты работы.

Как указали в компании, Rutube подвергся спланированной, целенаправленной атаке. Согласно имеющимся данным о ходе атаки, злоумышленник или злоумышленники точно знали, кого атаковали, то есть атака не была случайной. Работы по расследованию и реагированию на инцидент подобных масштабов обычно занимают от 1,5 до 3 недель. Только по их окончанию можно будет говорить о полной картине произошедшего и определить ответственных за инцидент.

На текущий момент достоверно нельзя указать, кто стоит за атакой. Positive Technologies ориентированы в первую очередь на технический анализ и противодействие атакующим. Все технические артефакты передадут Rutube. Сотрудники видеохостинга при необходимости смогут использовать их для дальнейшего поиска атакующих вместе с правоохранительными органами.

09ff6402b9ad34aba2c081b695cdaaf1.jpgАлексей Новиков

Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

«Активные действия злоумышленников датируются апрелем этого года. При этом главной их целью стал вывод сервиса из строя (нарушение его работоспособности), поэтому атакующие удалили ряд критических данных. В числе особенностей атаки, которые, в последние месяцы стали типичным поведением для злоумышленников, стоит отметить то, что параллельно с решением общих задач (выведением сервиса из строя), злоумышленники выкачивали некоторый объем внутренней информации сервиса, которая в дальнейшем используется для публичного подтверждения факта атаки (публикации документов в публичном поле) и обеспечивает повышенное массовое внимание к атаке и деятельности злоумышленников».

Сейчас Positive Technologies ведёт работу по двум направлениям:

  1. Восстановление хронологи действий злоумышленника, выявление полного перечня элементов инфраструктуры, затронутых инцидентом, сбор данных об особенностях использованного технического инструментария и прочее. Данные для определения злоумышленника из инфраструктуры и перекрытия возможных путей возвращения. Пока не будет завершено расследование, нельзя дать гарантий, что не произойдет повторная успешная атака. После этого будут сформированы полные рекомендации по тем действиям, которые необходимо предпринять в дальнейшем в том числе и для того, чтобы не допустить аналогичных кейсов в будущем.

  2. Анализ цепочки действий злоумышленника, выявление слабых мест в защите, выявление причин того, почему инцидент не был остановлен на более ранних этапах, внедрение недостающих технологий и процедур для выявления подобных инцидентов на ранних этапах до того, как будут реализованы недопустимые для бизнеса события.

9 мая отечественный видеохостинг Rutube сообщил о масштабной АРТ-атаке, из-за которой сайт сервиса прекратил работать. На третий день сервис всё ещё недоступен, сменился дисклеймер на сайте. Кроме того, в Twitter появились, предположительно, слитые скриншоты взломанной админки Rutube.

Сразу после взлома в СМИ появился слух об утере исходного кода сайта сервиса, из-за чего Rutube больше не подлежит восстановлению. В ответе на запрос информационной службы Хабра техслужба Rutube опровергла этот слух. Сервис признаёт, что столкнулся с самой сильной АРТ-атакой за всю историю своего существования. Команда Rutube заверила, что уже восстановила функционал платформы после мощной кибератаки, сегодня сервис должны запустить.

© Habrahabr.ru