Служба безопасности Rutube не знала о хакерах в системе на протяжении двух месяцев

Российский видеохостинг Rutube, массовый сбой которого произошел на 9 мая, взломали еще в марте, сообщил «Ведомостям» Денис Баранов, гендиректор компании Positive Technologies, которую Rutube привлек для расследования и устранения последствий инцидента.

«Rutube взломали заблаговременно: первые следы компрометации относятся к началу весны. Это была именно целевая хакерская, нацеленная на нанесение максимального и долговременного урона сервису», — сообщил «Ведомостям» гендиректор Positive Technologies Денис Баранов. Он уточнил, что всё это время, вплоть до 9 мая, когда произошла активная фаза взлома, хакеры не проявляли себя, изучая внутреннее функционирование сервиса. В День Победы же они  решили «выключить всем телевизоры». «К этому моменту они изучили инфраструктуру и четко выделили виртуальные машины, задействованные в обеспечении работы сервиса, и удаляли именно их», — рассказал Баранов.

«Точную дату назвать не можем, но следы вредоносной активности обнаружены сильно «до» событий 9 мая», — подтвердил информацию о заблаговременном сбое представитель Rutube. Информацию о том, что хакеры взломали сервис еще в феврале-марте 2022 г. подтвердил и директор по исследованиям и разработке «Лаборатории Касперского» Антон Иванов.

9 мая российский видеохостинг Rutube подвергся крупнейшей в истории компании хакерской атаке, сервис оставался недоступен несколько суток. При этом в компании заявляли, что данные пользователей платформы не попали под контроль злоумышленников, была полностью сохранена библиотека контента на сервисе, а его исходный код не был утрачен. В дальнейшем сервис сообщил, что обратился в правоохранительные органы по факту инцидента. После этого Rutube привлёк крупнейшие компании по кибербезопасности, которые занимались расследованием инцидента и устранением последствий атаки. Среди них были Positive Technologies, «Лаборатория Касперского» и др.

По словам Баранова, результат атаки мог быть гораздо масштабнее, но этому помешали сами сотрудники Rutube. «Очень хорошо сработала IT-служба: как только они заметили воздействие на ряд элементов инфраструктуры, то сразу же стали их отключать и изолировать, стараясь опередить хакеров, удалявших виртуальные машины», — добавил гендиректор Positive Technologies. Это была именно целевая хакерская, нацеленная на нанесение максимального и долговременного урона сервису, подчеркнул эксперт — то есть, их целью не было извлечение выгоды из атаки. Доступ к системе Rutube хакеры получили, взломав учетные записи сотрудников.

Выявить взлом инфраструктуры такого размера — крайне сложная задача, так как требует наличия выделенной команды экспертов по информационной безопасности, которые производят наблюдение 24/7, говорит Антон Иванов из «Лаборатории Касперского». «Также атакующие часто не производят никакой активности после проникновения в организацию. Они просто собирают необходимую информацию и подготавливают деструктивную активность к определенному моменту», — добавляет он.

То, что Rutube атаковали раньше, – несомненный факт, а взлом приурочили к 9 мая взлом, чтобы дискредитировать праздник победы, это была политическая акция, соглашается технический директор АО «Синклит» Лука Сафонов. Вероятно те, кто получили доступ к Rutube и те, кто взламывал его дальше — это разные люди, полагает Сафонов: скорее всего, первоначальный доступ был продан другим лицам, которые уже и произвели атаку, потому что по итогу «все выглядело достаточно топорно».

Если принять за факт, что мониторинга ИБ у Rutube не было, как они сами пишут в утекшей переписке, из-за «якобы неполноты сервиса от Gruop-IB», то они могли и не заметить присутствия злоумышленников, добавляет независимый эксперт по информационной безопасности Алексей Лукацкий.

О том, что руководство компании было осведомлено об уязвимости инфраструктуры сервиса как минимум с осени 2021 г., «Ведомости» писали 10 мая. По контракту, заключенному ранее в 2021 году между «Руформ» (юрлицо сервиса Rutube) и «Траст» (дочка «Груп Айби сервис» – Group-IB), Group-IB должна была оказать Rutube услуги по внешнему и внутреннему тестированию на проникновение в отношении инфраструктуры сервиса, провести анализ защищенности веб-сервиса, а также предоставить право пользования лицензии на ПО Group-IB Fraud Hunting Platform и других программных продуктов компании. Согласно письму, «Траст» поставил Rutube «неработоспособные» решения, а ущерб составил более 407 млн руб., писали «Ведомости» со ссылкой на письмо, направленное директором по безопасности ООО «Руформ» в адрес бывшего гендиректора компании Алексея Назарова.

При недостаточном контроле в Rutube вполне могли не замечать взлом, соглашается с ним Лука Сафонов: его результатом могла стать недоработка служб информационной безопасности, их недостаточное финансирование, незрелая политика информационной рассуждает он, неотлаженные процессы иб и тд. «Скажем так – они недооценили такого рода угрозы для бизнеса и халатно к этому отнеслись. Результат мы видим – привлечение к устранению инцидента таких крупных игроков, как Positive Technologies, могло стоить компании несколько миллионов рублей», — заключает эксперт.

Представитель «ИКС холдинга» сослался на NDA и сказал, что комментарии может давать только Rutube.