9 мая в Telegram-канале «RUTUBE вещает» появилось сообщение о том, что видеохостинг был атакован:
«Вслед за сайтами российских ведомств, которые в течение последних двух месяцев постоянно подвергались кибератакам, хакеры добрались до RUTUBE. Видеохостинг подвергся мощной кибератаке. На данный момент зайти на платформу невозможно.
Мы продолжаем вести восстановительные работы. Напомним, что платформа легла утром 9 мая, а пресс-служба заявила о крупнейшей в истории компании кибератаке. Как известно, APT – это спланированные и – что важно – дорогостоящие атаки. Кто-то очень хотел помешать RUTUBE показать парад Победы и праздничный салют».
Сообщение о том, что это была именно АРТ-атака, породило слухи: исходный код утерян, видео пользователей уничтожены, атакующие все еще имеют доступ к сайту, сервис упал навсегда.
Но как позже заявили представители Rutube, «информация относительно утери исходного кода сайта не соответствует действительности»: третьим лицам не удалось получить доступ к видеоархиву, контент не тронут. Осталось восстановить инфраструктуру видеоотдачи.
«Специалисты продолжают решать проблему, также к урегулированию ситуации были привлечены партнеры, в данный момент работа по восстановлению идет полным ходом. Важно понимать, что видеохостинг – это петабайты данных архивов и сотни серверов. Восстановление потребует больше времени, чем изначально предполагали инженеры. Однако мрачные прогнозы не имеют ничего общего с настоящим положением дел: исходный код доступен, библиотека цела. Сейчас идет процесс по восстановлению сегментов файловой системы удаленных сред и баз на части серверов», – говорит технический директор Rutube Андрей Литвинов.
В расследовании атаки и устранении ее последствий участвуют не только работники Rutube, но и специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center).
Руководитель отдела реагирования на угрозы экспертного центра безопасности Positive Technologies Денис Гойденко заявил, что инструментарий, которым пользовались хакеры, уже определен, и теперь специалисты пытаются найти его во всех частях инфраструктуры «Рутьюба», чтобы перекрыть хакерам возможные пути возвращения.
Всего же процесс восстановления видеохостинга занял трое суток. Но проделана далеко еще не вся работа.
«Мы успешно завершили первый этап восстановления функционала платформы и намерены запустить видеохостинг сегодня. В данный момент на платформе проводится нагрузочное тестирование и дополнительная проверка на уязвимость», – говорит генеральный директор Rutube Александр Моисеев.
Следующим этапом станет удаление оставленных хакерами вредоносных программ и лазеек для возврата в систему.
«Совместно со специалистами Rutube мы проводим контрольные работы, после чего видеохостинг будет выведен во внешний контур. Также работы ведутся в контексте восстановления хронологии действий злоумышленника, выявления полного перечня элементов инфраструктуры, затронутых инцидентом, собираются данные об особенностях использованного технического инструментария и проч. Это необходимо для того, чтобы «вычистить» злоумышленников из инфраструктуры и перекрыть им возможные пути возвращения», – поясняет директор экспертного центра безопасности Positive Technologies Алексей Новиков.
Что такое АРТ-атака
Чего же такого сделали хакеры, что специалисты до сих пор устраняют последствия их вторжения? АРТ-атака (Advanced Persistent Threat) – сложный процесс, на который требуется много времени. В течение его хакеры незримо находятся в системе и отслеживают перемещение данных, а также действия пользователей. При этом могут использоваться методы тагетирования для быстрого нахождения цели и инструменты администрирования. Эти методы и инструменты постоянно совершенствуются. Далее хакер может сделать с сайтом что угодно: украсть нужную часть информации или, как в случае с Rutube, сломать сайт, оставив в его коде и на серверах лазейки и скрытые мины.
Это и произошло с Rutube: сегменты файловой системы и некоторые среды были удалены или перемещены, причем на нескольких серверах видеохостинга, а инфраструктура видеоотдачи была нарушена, также были расставлены трояны-бэкдоры. Началось же всё, наверняка, с сотрудника руководящего звена с расширенным доступом, который кликнул на ссылку в фишинговом письме. Или с саботажа одного из сотрудников, имеющего доступ в систему.
Как распознать АРТ-атаку
Такая кибератака, как уже говорилась, ведется длительный период времени. Возможно, хакеры уже сидят в недрах вашего сайта и готовятся его обрушить. Как определить это по косвенным признакам?
Письма по интересам в электронной почте
Для входа в систему хакерам нужны пароли, которые можно достать через сотрудников с помощью обычного фишинга – присылают письма на темы, интересующие нужных им сотрудников. Узнать, чем увлекается человек, несложно, если тот активен в соцсетях. Дальше дело за малым: зараженным вложением или ссылкой, по которой загрузится вредоносная программа. И такие письма не будут массовой рассылкой – это всегда персонализированное письмо. В общем проведите с сотрудниками ликбез по фишингу.
Входы в систему
Злоумышленники предпочитают заходить в систему в нерабочее время, чтобы в ней не было людей, способных заметить и, тем более, пресечь подозрительную активность, и чтобы не пересекаться с тем сотрудником, чьи логин и пароль используются. Поэтому следите за временем входов в систему и уточняйте у сотрудников, точно ли они заходили в два часа ночи.
Трояны-бэкдоры
Эти программы прописываются в коде во время первого проникновения в систему и становятся потайными и всегда открытыми дверцами для хакеров – даже если администратор сменил все пароли у всех сотрудников.
Чехарда с данными
Пересылка больших пакетов информации с сервера на сервер или вовне должна насторожить. Также на то, что в вашей системе сидит киберпреступник, могут указывать изменения месторасположения файлов.
Группировка данных
Перед отправкой данные подготавливаются: группируются и сжимаются. Поэтому непонятные архивы, а тем более архивы несвойственного для компании формата, должны настораживать.
И имейте в виду: АРТ-атаки могут длиться месяцы и даже годы – в это время хакеры имеют доступ к информации компании.