Rutube и атака клонов

Сервис Rutube (ООО «Руформ») 9 мая подвергся крупнейшей атаке с момента создания и только 11 мая возобновил работу. В течение трех дней на главной странице видеохостинга висела заглушка, которая сообщала, что «на сайте ведутся технические работы». Ответственность за атаку уже взяла на себя хакерская группировка Anonymous, которая заявила, что после их атаки Rutube, вероятно, исчез навсегда. Как взломали Rutube?

Кто и когда атаковал сервис

О том, что Rutube подвергся кибератаке, видеохостинг сообщил 9 мая около 7 утра (мск). Бывший сотрудник Rutube рассказал Forbes, что специалисты сервиса зафиксировали кибератаку между 3 и 4 часами утра, однако не смогли среагировать оперативно, а через некоторое время «сервис попросту удалился».

Атака была запланирована специально, чтобы сорвать трансляцию Парада Победы, считают в компании. В течение дня в Telegram-канале сервиса «Rutube вещает» появлялись обновления: «специалисты локализовали инцидент», «вся библиотека, включая пользовательский контент, сохранена», «продолжаем вести восстановительные работы». Однако сервис так и не заработал, а интернет-издание The Village со ссылкой на источники сообщило, что Rutube после кибератаки не подлежит восстановлению. В видеохостинге это отрицают: 10 мая пресс-служба Rutube заявила, что в результате атаки было поражено более 75% баз и инфраструктуры основной версии и 90% резервных копий и кластеров для восстановления баз данных. Точные причины, из-за которых сервис вышел из строя, не сообщаются. «Расскажем позже, расследование еще не закончено», — заявили в пресс-службе сервиса Forbes. 
 
Хакеры начали выводить Rutube из строя еще в апреле, рассказал Forbes директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков. Positive Technologies ведет расследование инцидента, оно займет от полутора до трех недель. Главной целью хакеров был вывод сервиса из строя (нарушение его работоспособности), поэтому атакующие удалили ряд критических данных, добавил Новиков. 

По его словам, Rutube подвергся хорошо спланированной, целенаправленной атаке: данные о действиях злоумышленника, которые есть сейчас у Positive Technologies, говорят о том, что атакующие точно знали, кого атаковали, а не поразили сервис случайно. Хакеры выкачивали некоторый объем внутренней информации сервиса, чтобы выложить данные в публичный доступ, продолжает Новиков, так злоумышленники подтвердили атаку и привлекли повышенное массовое внимание к ней.

Определить, кто конкретно стоит за атакой, сейчас невозможно, говорят в Positive Technologies. Компания в первую очередь занимается техническим анализом и противодействием атакующим. «Все технические артефакты будут переданы Rutube, и коллеги смогут при необходимости использовать их для дальнейшего поиска злоумышленников вместе с правоохранительными органами», — сказал Новиков. В пресс-службе Rutube рассказали Forbes, что напишут заявление в правоохранительные органы. 

Что стало известно из утечки Rutube

В день взлома Rutube в аккаунте @sudormRF6 в Twitter появились скриншоты из внутренней системы сервиса со списком каналов на платформе. Также в этом аккаунте появилось письмо бывшего гендиректора Rutube Алексея Назарова в ФСБ, в котором он якобы жалуется на услуги компании по кибербезопасности Group-IB (первой об этом написала «Русская служба Би-би-си»). По словам Назарова, сотрудники Group-IB «умышленно, с целью получения прибыли ввели в заблуждение представителей АО «ГПМХ» (АО «Газпром-Медиа Холдинг», владеет Rutube. — Forbes) и ООО «Руформ», заключив не связанные между собой два договора на поставку оборудования и программного обеспечения, интеграция которого невозможна без дополнительных расходов в размере свыше 80 млн рублей». Назаров отказался от комментариев.

Group-IB прокомментировала утечку в среду, 11 мая. «Никаких претензий к нам со стороны правоохранительных органов ни на одно юрлицо Group-IB по взаимодействию с ООО «Руформ» не поступало», — отметили в компании.

В заявлении также говорится, что Group-IB проводила ряд тестирований на проникновение для ООО «Руформ» до 2021 года. После этого Rutube получил в феврале 2021-го отчет с  рекомендациями по усилению мер защиты. Были ли выполнены эти рекомендации, Group-IB неизвестно, следует из релиза компании. Продукты Group-IB не используются и ранее не использовались для защиты от кибератак офисной или серверной инфраструктур или отдельных приложений Rutube. Кроме того, Group-IB не привлекали к реагированию на инцидент 9 мая, отметили в компании. 

Что не так с безопасностью Rutube

Бывший сотрудник Rutube рассказал Forbes, что еще в 2021 году аудит видеосервиса по кибербезопасности, кроме Group-IB, проводили Positive Technologies, Digital Security и «Ростелеком»; эти компании (Forbes отправил запросы их представителям) выявили несколько уязвимостей. По результатам тестовых атак сам сайт взломать не получилось, однако специалисты обнаружили ряд уязвимостей в офисной инфраструктуре компании, следует из данных аудита, с которыми ознакомился бывший сотрудник Rutube.

Кибератаке подверглись именно те офисные ресурсы, которые были указаны в отчетах, подчеркнул собеседник Forbes. Кроме того, по результатам аудита Group-IB предупреждала, что атака возможна именно через офисные ресурсы Rutube, отметил источник. По его словам, офисную инфраструктуру можно было отделить от сайта и защищать отдельно, однако в компании этого так и не сделали. На исправление выявленных по итогам аудита уязвимостей должно было уйти около трех — шести месяцев. «Однако вскоре в компании сменилось руководство, и многие работы по модернизации сервиса, в том числе по исправлению уязвимостей, приостановили», — сказал собеседник Forbes. 

9 мая злоумышленники не только проникли в систему, получив доступ к админке, но и модифицировали исходный код видеосервиса так, чтобы он удалял данные из файлохранилища Rutube, утверждает бывший сотрудник сервиса. Он полагает, что для такой атаки нужно было «хорошо понимать, как именно работает инфраструктура сервиса, поэтому у злоумышленников либо был инсайдер в компании, либо доступ к технической документации и данным аудита». Другой бывший сотрудник Rutube также предположил, что атака могла произойти именно через офисную инфраструктуру компании, однако «уязвимости, выявленные в результате аудита, все же успели устранить до атаки». Он считает, что атака произошла с помощью инсайдера — злонамеренно или случайно (сотрудник использовал зараженную флешку или открыл фишинговое письмо). По словам второго бывшего сотрудника Rutube, злоумышленники не смогли удалить исходный код сервиса, однако в результате инцидента сервис все равно потеряет часть контента.

Что будет с Rutube дальше

Rutube завершил первый этап восстановления функционала платформы и запустил видеохостинг 11 мая, говорится в заявлении гендиректора сервиса Александра Моисеева. 

Новиков из Positive Technologies говорит, что компания ведет сейчас работы по двум направлениям. Первое связано с восстановлением хронологии действий злоумышленника, сбором данных о том, какие элементы инфраструктуры затронуты атакой. «Пока не будет завершено расследование, нельзя дать гарантий, что не произойдет повторная успешная атака», — говорит Новиков. Второе направление включает в себя анализ действий злоумышленника, выявление слабых мест в защите, поиск причин, по которым инцидент не был остановлен на более ранних этапах, и т. д.

Чем больше времени занимает восстановление сервиса, тем значительнее его повреждения, считает исполнительный директор Общества защиты интернета Михаил Климарев (признан в России иноагентом). «У Rutube и так реноме было не очень, поскольку ни по качеству контента, ни по технологиям до русского аналога YouTube он никак не дотягивал. После подобного взлома его репутация попросту уничтожена. Видеопродакшен — это дорогая вещь, и ни рекламодатели, ни блогеры не захотят сотрудничать с компанией, которая может допустить удаление абсолютно всей информации», — говорит Климарев. Он добавил, что Rutube и ранее финансово не окупался, поскольку рекламодателям вместо потенциальной аудитории в 7,7 млрд человек со всего мира предлагают аудиторию в 144 млн жителей России.

За последние две-три недели злоумышленники атаковали еще несколько крупных российских компаний, рассказал главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян. «Все они происходили по похожей схеме: в инфраструктуру внедрялось вредоносное программное обеспечение, которое изучало систему и ее работу, а затем шифровало и уничтожало бэкапы. Я подозреваю, что с Rutube произошло что-то похожее», — считает Казарян. Если у компании действительно остались резервные копии ресурса, на его восстановление уйдет около трех недель, оно может обойтись в 100-150 млн рублей. «А затем еще потребуются затраты на восстановление утерянных данных и улучшение информационной безопасности», — полагает Казарян.