В ходе сессии «Информационная война: защита национального медийного суверенитета» на ПМЭФ-2022 генеральный директор Positive Technologies Денис Баранов рассказал об атаке на Rutube, развеяв некоторые мифы о взломе видеохостинга, произошедшего 9 мая этого года. Компания занимается расследованием инцидента с первых дней взлома. По словам Дениса Баранова, Rutube подвергся именно целевой атаке внешних хакеров. Причём сервис взломали заблаговременно — первые следы компрометации относятся к началу весны. Сохранить сервис получилось за счёт скорости реакции специалистов.
Денис Баранов
Генеральный директор Positive Technologies
«Это была именно целевая хакерская атака, нацеленная на нанесение максимального и долговременного урона сервису. Однако они умудрились засветиться на антивирусах, использовали инструментарий, который характерен для базового пентестера. Хакеры изучили инфраструктуру, выделили виртуальные машины, задействованные в обеспечении работы сервиса, и пытались удалять именно их. И тут началась гонка: ИТ-специалисты Rutube заметили воздействие на ряд элементов инфраструктуры и сразу же стали их отключать и изолировать, стараясь опередить хакеров, удалявших виртуальные машины. Айтишники компании все-таки победили за счёт скорости реакции».
Проблема инцидента с Rutube в том, что он катастрофически оброс мифологией, указал Денис Баранов. С момента взлома команда столкнулась с многими версиями в СМИ, начиная от DDoS-атаки и заканчивая подрядчиками, забывшими ограничить доступ ушедшим сотрудникам. Он назвал все эти версии чушью и попросил больше не распространять их в СМИ.
Positive Technologies были первыми, кто приехал на место происшествия и начал расследование, поэтому компания заверила, что речь идёт именно о таргетированной целевой атаке на сервис. По оценке Дениса Баранова, квалификация злоумышленников составляет примерно 3+ и 4- (по пятибальной шкале), они засветились на антивирусе и делали лишние действия, не характерные для профессионалов, как если бы они учились взломам самостоятельно по инструкциям в интернете. Это минимальный уровень для прохождения собеседования в Positive Technologies и дальнейшего обучения на белого хакера. Систему безопасности Rutube он назвал «базовой».
Rutube «поломали в районе марта» именно внешние хакеры, без участия инсайдеров, что видно по их действиям в системе. Злоумышленникам потребовалось несколько месяцев на чтение документов и изучение работы инфраструктуры, делая избыточные действия, не характерные для инсайдера. Денис Баранов отметил высокую сложность инфраструктуры видеохостинга, которая кажется проще, чем есть на самом деле. Кроме того, медиаресурсы никогда не были первостепенной целью хакеров, из-за чего потребовалось больше времени, чтобы понять, где именно и как лучше ломать систему. В конце концов был написан целевой скрипт под конкретную дату, удаляющий компоненты инфраструктуры, базы данных и другую информацию. По словам Дениса Баранова, тут помогла только скорость реакции айтишников. Ещё бы полдня, и данные на Rutube было бы не восстановить.
