Rutube и Positive Technologies в интервью РБК-ТВ рассказали о хакерской атаке на российский видеохостинг
В интервью РБК-ТВ генеральный директор Rutube Александр Моисеев и Алексей Новиков, директор центра безопасности компании Positive Technologies, расследующей инцидент, рассказали о хакерской атаке на отечественный видехостинг, прошедшей 9 мая этого года. В материале представители компаний выразили официальную позицию на тему того, кто взломал Rutube, как это произошло и какие последствия повлёк за собой инцидент.
По словам Моисеева, из-за массированной атаки на русскоязычные платформы и Rutube в частности специалисты видеохостинга работали уже в 4 утра 9 мая. Атака на отечественный видеосервис отличалась своей целенаправленностью и адаптацией конкретно под инфраструктуру Rutube. Это отличает её от «рутинных» DDoS-атак на видехостинг. Моисеев не смог назвать конкретные цели взлома (вымогательство, шантаж и т.п.), но указал, что совершенно точно задачей злоумышленников стояло «полное уничтожение» инфраструктуры и объектов виртуальной среды Rutube.
Интервьюер спросил у Алексея Новикова, смогли ли они в ходе расследования установить или определить портрет злоумышленников, а также локализировать компьютер, с которого осуществлялся взлом. Новиков указал, что Positive Technologies занималась изучением инфраструктуры пострадавшей стороны, анализируя оставшиеся после инцидента технические артефакты, используемое вредоносное ПО, способы заражения, недостатки инфраструктуры и так далее. Компания не занимается поиском взломщиков. По итогам расследования Positive Technologies выдаёт рекомендации об улучшении инфраструктуры, чтобы подобных ситуаций больше не повторилось. Остальную работу проводят правоохранительные службы стран.
Моисеев в очередной раз опроверг версию об участии во взломе инсайдера, назвав эту информацию недостоверной. В свою очередь Новиков указывает на невозможность определить количество атакующих и их локализацию на данный момент.
«Инсайдеров мы перепроверили во всех возможных вариантах. Следствие сейчас идёт полным ходом, но внутри площадки всё восстановлено: коллеги работают, площадка уже давно запущена и функционирует. Информация об инсайдерах недостоверная», — указал Моисеев.
Новиков отметил, что структура Rutube довольно сложна, из-за чего постороннему человеку с ходу сложно разобраться в её работе. Злоумышленники готовились к взлому несколько месяцев, изучая бизнес-процессы сервиса. Они проводили «разведку» и собирали информацию, позволившую им понять, как проводить атаку. Первоначальный след на текущий момент определить нельзя.
Новиков указал, что для изучения сервиса взломщики использовали утили, позволяющие получить права администратора, прятались в сетевом трафике и использовали различные фреймворки, позволяющие скрыть своё присутствие в инфраструктуре. В целом в ходе атаки и разведки использовался комплекс утилит с открытым исходным кодом и собственные утилиты инфраструктуры Rutube. Расследованием инцидента занимались пять сотрудников Positive Technologies, анализирующих данные, собранные коллегами «в поле». Они работали совместно со специалистами Rutube.
«Злоумышленники в ряде случаев удаляли и «чистили» информацию за собой. Достаточно одной какой-то базовой вещи, чтобы начать атаку — будь то, например, неустановленное вовремя обновление, фишинговое письмо или ссылка. Первоначальный след на текущий момент не установлен», — указал Новиков.
Моисеев указал, что на текущий момент специалисты Rutube находятся «в режиме паранойи», перепроверяя постоянно одни и те же процессы. До взлома ни о чём подобном не было речи. Также не прорабатывалась система экстренного реагирования на подобные инциденты.
На вопрос об объёмах ущерба и сферах, наиболее пострадавших при атаке, Моисеев ответил расплывчато и без указания подробностей и конкретных объёмов финансовых потерь. Видеоархив Rutube остался цел, пользовательские данные не затронуты. При этом, по словам Моисеева, во взломе есть положительный момент — благодаря ему при восстановлении и перезагрузке инфраструктуры специалисты Rutube за несколько дней внедрили несколько инструментов, на штатное внедрение которых потребовалось бы значительно больше времени. Как выразился Моисеев, благодаря этому к моменту запуска сервиса платформа «была восстановлена на 110%». Сеть была восстановлена в совершенно другом виде, чем до атаки.
***
9 мая Rutube сообщил о масштабной АРТ-атаке, из-за которой сайт сервиса прекратил работать. Кроме того, в Twitter появились, предположительно, слитые скриншоты взломанной админки видеохостинга. Сразу после взлома в СМИ появился слух об утере исходного кода сайта сервиса, из-за чего Rutube больше не подлежит восстановлению. В ответе на запрос информационной службы Хабра техслужба сервиса опровергла этот слух, но признала, что столкнулась с самой сильной АРТ-атакой за всю историю существования Rutube. Вечером 11 мая работа сервиса была частично восстановлена.
Согласно данным расследования Forbes, атака на Rutube могла произойти по вине инсайдера. Как указали бывшие сотрудники видеохостинга, в ходе аудита удалось найти ряд критических уязвимостей в офисной инфраструктуре компании, не отделённой от сайта. Для взлома нужно было «хорошо понимать, как именно работает инфраструктура сервиса, поэтому у злоумышленников либо был инсайдер в компании, либо доступ к технической документации и данным аудита». Также в СМИ появился слух, что это был не взлом. Одному из бывших сотрудников Rutube забыли ограничить доступ. Он этим воспользовался, вошёл в систему и удалил всё, что мог. Rutube отрицает все версии, не связанные с массированной спланированной атакой на видеохостинг.
