Весной Positive Technologies приняла участие в расследовании одной из самых громких кибератак рунета, едва не стоившей сервису Rutube исходного кода и библиотеки видеоконтента. В интервью «Ведомостям» генеральный директор, член совета директоров ПАО «Группа Позитив» Денис Баранов рассказал о том, чем отличаются кибератаки образца 2022 года и почему мошенников больше не интересует финансовая выгода.

По словам Баранова, все технические данные, собранные компанией во время расследования атаки, переданы Rutube, и дальше они работают с ними самостоятельно. Он отметил, что стоимость атаки была незначительной. Она не потребовала существенных затрат на аренду большого количества ресурсов, в ней не использовался специфический инструментарий, который стоит больших денег.

По уровню сложности это была базовая атака, хотя по сути она была спланированной, нацеленной на уничтожение инфраструктуры хостинга. Такие атаки обычно требуют времени для того, чтобы злоумышленник смог разобраться с внутренней IT-инфраструктурой.

Баранов объяснил, что в таких случаях атакующий получает доступ всего к одному устройству внутри сети компании. Если речь идёт об атаке на сотрудника, то его можно обмануть и сделать так, что он сам передаст злоумышленнику все права доступа к своему устройству. Если взламывают периметровую систему, достаточно одной уязвимости, чтобы получить доступ к инфраструктуре с базовыми правами.

Во время атаки хакеры удалили ряд компонентов инфраструктуры, и поэтому однозначно установить первоначальную точку их входа в инфраструктуру сейчас невозможно.

Мы видели атаки и на более крупные компании, и приводящие к более серьёзному ущербу, и более масштабные по своему охвату, и даже более сложные. Но до сих пор мотивация злоумышленников была в получении финансовой выгоды от атаки. Сейчас же мы видели яркий пример атаки на отрасль, которая традиционно не попадала в сферу интересов хакеров, с целью нанесения максимального ущерба, а не ради финансовой выгоды.

Чтобы избежать риска повтора таких атак, компаниям надо задаться правильным целеполаганием, считает Баранов. Сейчас топ-менеджменту надо чётко осознать, что против них работают хакеры, замотивированные на нанесение максимального ущерба. А после этого — выстроить работу IT и информбезопасности так, чтобы недопустимые для компании события стали гарантированно невозможными.

***

9 мая Rutube сообщил о масштабной АРТ-атаке, из-за которой сайт сервиса прекратил работать. Кроме того, в Twitter появились, предположительно, слитые скриншоты взломанной админки видеохостинга. Сразу после взлома в СМИ появился слух об утере исходного кода сайта сервиса, из-за чего Rutube больше не подлежит восстановлению. В ответе на запрос информационной службы Хабра техслужба сервиса опровергла этот слух, но признала, что столкнулась с самой сильной АРТ-атакой за всю историю существования Rutube. Вечером 11 мая работа сервиса была частично восстановлена.

Согласно данным расследования Forbes, атака на Rutube могла произойти по вине инсайдера. Как указали бывшие сотрудники видеохостинга, в ходе аудита удалось найти ряд критических уязвимостей в офисной инфраструктуре компании, не отделённой от сайта. Для взлома нужно было «хорошо понимать, как именно работает инфраструктура сервиса, поэтому у злоумышленников либо был инсайдер в компании, либо доступ к технической документации и данным аудита».

Также в СМИ появился слух, что это был не взлом. Одному из бывших сотрудников Rutube забыли ограничить доступ. Он этим воспользовался, вошёл в систему и удалил всё, что мог. Rutube отрицает все версии, не связанные с массированной спланированной атакой на видеохостинг.