9 мая отечественный видеохостинг Rutube сообщил о масштабной АРТ-атаке, из-за которой сайт сервиса прекратил работать. На третий день сервис всё ещё недоступен, сменился дисклеймер на сайте. Кроме того, в Twitter появились, предположительно, слитые скриншоты взломанной админки Rutube.
Скриншоты опубликованы в профиле sudo rm -RF. Материалы не подтвердждены. Хабр не несет ответственности за достоверность этой информации. Скриншоты были переданы в службу безопасности Rutube с просьбой подтвердить или опровергнуть их достоверность. Сервис ответил Хабру, что пока не готов комментировать представленные скриншоты.
Скриншоты.
Работы по восстановлению сайта продолжаются. Как указано в Telergam-канале Rutube, для расследования и устранения последствий аварии привлечены несколько экспертных команд, в частности, команда специалистов экспертного центра безопасности Positive Technologies (PT Expert Security Center). Специалисты компании вместе с сотрудниками Rutube вторые сутки занимаются решением проблемы. Сервис заявляет, что уже удалось добиться первых результатов.
Сразу после взлома в СМИ появился слух об утере исходного кода сайта сервиса, из-за чего Rutube больше не подлежит восстановлению. В ответе на запрос информационной службы Хабра техслужба сервиса опровергла этот слух. Сервис признаёт, что столкнулся с самой сильной АРТ-атакой за всю историю своего существования. Тем не менее, исходный код доступен, библиотека цела, восстановительные работы продолжаются.
Как указывают источники издания «Ведомости», работы по восстановлению Rutube могут занять более недели. Директор экспертного центра безопасности Positive Technologies Алексей Новиков пояснил изданию, что, учитывая масштабы поражения, восстановительные работы займут от 1,5 до 3 недель. На текущий момент эксперты выясняют хронологию действий злоумышленников, чтобы «вычистить» их из инфраструктуры и перекрыть им возможные пути возвращения. После окончания расследования можно будет дать точный ответ о личности хакера: был ли это кто-то из сотрудников Rutube, или он не имел отношения к компании.
По информации издания, из служебной записки директора по безопасности ООО «Руформ» (юрлицо сервиса Rutube) в адрес бывшего гендиректора компании Алексея Назарова от 25 октября 2021 года следует, что руководство сервиса было уведомлено об уязвимости инфраструктуры. Компания ООО «Траст» (дочка ООО «Груп Айби сервис» – Group-IB) должна была оказать Rutube услуги по «внешнему и внутреннему тестированию на проникновение в отношении инфраструктуры сервиса, провести анализ защищенности веб-сервиса, а также предоставить право пользования лицензии на ПО Group-IB Fraud Hunting Platform и других программных продуктов компании». В итоге, согласно информации издания, «Траст» поставил Rutube «неработоспособные» решения, ущерб составил более 407 млн рублей.
В ответ на запрос информационной службы Хабра Group-IB официально заявила, что полностью опровергает информацию об использовании продуктов компании (в настоящий момент или когда-либо) для защиты от кибератак офисной или серверной инфраструктур или отдельных приложений видео-хостера Rutube.
В свою очередь издание «Коммерсантъ» указывает со ссылкой на Алексея Новикова, что главной целью злоумышленников стал вывод сервиса из строя. Хакеры предприняли попытку шифрования серверов и удалили ряд критических данных, параллельно скачав определённый объём внутренней информации сервиса. Приглашённые эксперты издания оценили Rutube на момент атаки в 6–7 млрд рублей. Они предполагают, что только простой в работе может стоить компании 0,5–1 млрд рублей.
Руководитель отдела реагирования информационной безопасности экспертного центра безопасности Positive Technologies Денис Гойденко в разговоре с ТАСС заявил, что за два дня работы команда специалистов поняла основной инструментарий, который использовали хакеры.
«Работы очень много, потому что инфраструктура Rutube довольно большая и комплексная, и сейчас мы стараемся найти во всех частях инфраструктуры Rutube весь инструментарий хакеров, чтобы перекрыть хакерам возможные пути возвращения», — указал Гойденко.
