Два дни след хакването, Rutube възстанови своята работа. Компанията съобщи, че възнамерява да се обърне към правоохранителните органи за издирване на извършителите, организирали нападението. Междувременно хакерската група Anonymous пое отговорността за пробива, твърдейки, че си е свършила работата ефективно и е унищожила Rutube.
Да напомним, че онлайн услугата (Ruform LLC) на 9 май тази година бе подложена на най-голямата хакерска атака от своето създаване и възобнови работа чак на 11 май. В продължение на три дни на главната страница на видео хостинга се показваше само съобщение, в което се казваше, че се „извършва техническа профилактика на сайта“. Хакерската група Anonymous вече бе поела отговорността за атаката, заявявайки, че след пробива Rutube най-вероятно е изчезнал завинаги. Как всъщност беше хакната Rutube? Нека се спрем малко по-подробно.
Кой и кога атакува Rutube
Фактът, че е осъществена мощна кибератака срещу Rutube бе съобщен от самия видео хостинг на 9-ти май около 7 часа сутринта московско време. Бивш служител на Rutube съобщи на Forbes, че специалистите на тази онлайн услуга са регистрирали кибератака между 3 и 4 часа сутринта, но не са могли да реагират навреме, като след известно време Rutube се е сринал.
Според руската компания, атаката очевидно е била специално планирана за да може да бъде прекъснато излъчването на Парада на победата. През деня в канала на Rutube в Telegram започнаха да се появяват съобщения от рода на: „специалистите са локализирали инцидента“, „цялата библиотека, включително потребителското съдържание, е запазена“, „продължаваме да извършваме възстановителните работи“. Услугата обаче така и не проработи и The Village, позовавайки се на свои източници на информация, съобщи, че Rutube не може да бъде възстановена след кибератаката. Видео хостингът отрече това: на 10-ти май пресслужбата на Rutube заяви, че в резултат от атаката са засегнати над 75% от базите данни и инфраструктурата на основната версия, както и 90% от резервните копия в клъстърите за възстановяване на базите данни. Не бяха съобщени точните причини, поради които услугата се срина.
„Ще ви съобщим по-късно, разследването все още не е приключило“, заяви на 9-ти май пред Forbes пресслужбата на Rutube.
Хакерите са започнали да деактивират Rutube още през месец април, каза пред Forbes Алексей Новиков, директор на експертния център за сигурност на Positive Technologies (PT Expert Security Center). Positive Technologies разследва инцидента, но заяви, че това ще отнеме от десетина дни до три седмици. Основната цел на хакерите е била да деактивират услугата и да нарушат нейната работоспособност. Точно затова хакерите са изтрили големи обеми от критични данни, добавя Новиков.
В момента е невъзможно да се определи кой точно стои зад атаката, казаха от Positive Technologies на следващия ден. Компанията най-напред се зае с техническия анализ и противодействие на хакерите.
„Всички технически артефакти ще бъдат предадени на Rutube и колегите ще могат да ги използват, ако е необходимо, за по-нататъшно търсене на нарушителите, което ще стане съвместно с правоприлагащите органи“, каза Новиков.
От пресслужбата на Rutube казаха пред Forbes, че ще напишат изявление до правоприлагащите органи.
Изтичането на информация
В деня, в който Rutube беше хакнат, в Twitter акаунта @sudormRF6 се появиха скрийншоти от вътрешната система на онлайн услугата плюс списъка с канали на платформата. В същия акаунт се появи и писмо от бившия главен изпълнителен директор на Rutube Алексей Назаров, адресирано до до ФСБ (Федералната Служба за Безопасност), в което той уж се оплаква от услугите на компанията за киберсигурност Group-IB (тази информация излезе най-напред от руската BBC). Според Назаров, служителите на Group-IB „умишлено, за да спечелят доста добри пари, са подвели представителите на GPMK JSC (Gazprom-Media Holding JSC, притежаваща Rutube и Ruform LLC, сключвайки два несвързани договора за доставка на компютърно оборудване и софтуер, чиято интеграция е невъзможна без допълнителни разходи в размер на над 80 милиона рубли„. Назаров отказа коментар.
Group-I коментира хакването на Rutube в сряда, 11-ти май:
„Не сме получавали никакви искове от правоприлагащите органи срещу което и да е юридическо лице от Group-IB относно каквото и да било взаимодействие с Ruform LLC“, отбеляза компанията.
В изявлението се казва още, че Group-IB е провела редица тестове за проникване по поръчка на Ruform LLC, което е станало до 2021 година. Съответният доклад е връчен на Rutube през месец февруари 2021 година с препоръки за засилване на мерките за сигурност. Дали тези препоръки са изпълнени, Group-IB не знае, следва от съобщението на компанията.
Какво не е наред с информационната безопасност на Rutube
Бивш служител на Rutube каза пред Forbes, че през 2021 година одит на видео услугата по отношения на киберсигурността, освен от Group-IB, е извършен и от Positive Technologies, Digital Security и Rostelecom. Тези компании (Forbes е изпратил запитвания до техни представители) разкриха няколко уязвимости. Според резултатите от извършените тестови атаки, самият сайт не може да бъде хакнат, но експертите откриха редица уязвимости в офисната инфраструктура на компанията. Резултатите от извършения одит са включени в специален доклад.
Интересно е, че точно тези офисни ресурси, посочени в доклада, са били подложени на кибератака, подчерта събеседникът на Forbes. Освен това, според резултатите от одита, Group-IB е предупредила, че е възможно осъществяването на хакерска атака чрез офис ресурсите на Rutube. Според него, офис инфраструктурата би трябвало да бъде отделена от сайта и да бъде отделно защитена, но компанията не е изпълнила тази препоръка. Необходими са били от около три до шест месеца за отстраняване на уязвимостите, разкрити по време на одита. Само че точно тогава ръководството на компанията е подменено и процедурите по отстраняването на разкритите уязвимости са прекратени.
На 9-ти май хакерите не само са проникнали в системата, получавайки достъп не до какво да е, а до панела на системния администратор, което им е дало възможност да модифицират кода на видео услугата по такъв начин, че да бъдат изтрити данните от файловото хранилище на Rutube, където се записват направените архиви и по този начин хакерите се подсигуряват, че ударът ще бъде наистина голям. Бивш специалист на Rutube каза пред Forbes, че за осъществяването на подобна атака е необходимо „много добре да се знае как точно работи инфраструктурата на тази онлайн услуга„. Намекът е, че хакерите или са имали вътрешен човек в компанията, или по някакъв начин са получили техническата документация от извършения одит. Според друг специалист на Rutube, най-вероятно атаката е осъществена с помощта на заразен флаш стик от някой вътрешен човек, понеже това е било напълно възможно и е лесно за осъществяване.
Какво следва
Rutube успешно завърши първата фаза от възстановяването функционалността на платформата и стартира видео хостинга на 11-ти май
Positive Technologies споделиха, че в момента компанията работи в две основни направления. Първото е свързано с възстановяване хронологията на действията на хакерите и събиране на всички възможни данни за това, кои инфраструктурни елементи са засегнати от атаката. „До приключването на разследването няма гаранция, че няма да има друга успешна атака“, казва Новиков, експерт на Positive Technologies. Второто направление включва анализ на действията на нападателя, идентифициране на слабостите в защитата, търсене на причините, поради които инцидентът не е спрян на по-ранни етапи и т.н. Кои точно са хакерите, ударили Rutube все още не се съобщава и е възможно те да не са известни. Нама потвърдения, че това са били Anonymous.
Колкото повече време отнема възстановяването на дадена услуга, толкова по-значими са нейните щети, казва Михаил Климарев, изпълнителен директор на Обществото за защита на интернет (признат за чуждестранен агент в Русия).
„Rutube така или иначе нямаше много добра репутация, защото нито по качеството на съдържанието, нито по технологиите не може да бъде наречен руският аналог на YouTube. След подобно хакване, неговата репутация е на практика унищожена. Създаването на видео съдържание е скъпо нещо и нито рекламодателите, нито блогърите ще пожелаят да работят с компания, която може да допусне изтриването на всичката информация плюс промяна на кода“ – каза още Климарев“.
Той добави, че Rutube и преди кибератаката е работел на загуба и изобщо не е можел да възвърне направените инвестиции понеже рекламодателите вместо една потенциална аудитория от 7,7 милиарда души от целия свят са получили аудитория от 144 милиона жители на Русия.
Интересно е, че започнаха да се забелязват повтарящи се елементи и действия. Карен Азарян, който е водещият аналитик на Руската асоциация за електронни комуникации, сподели, че през изтеклите две-три седмици неизвестни хакери са атакували няколко големи руски компании по една и съща схема. В инфраструктурата се внедрява специализиран хакерски софтуер, който без особено да бърза изучава компютърната система, а след това изтегля допълнителен вредоносен код, който най-напред унищожава записаните архивни файлове и използваната система за правене на бекъпите – заразява се клъстърът от сървъри (ако има такъв), намерените архивни файлове се криптират, но по-често направо се изтриват, поврежда се софтуера за правене на бекъпи. По този начин се елиминира най-важната защита на една сложна компютърна система – нейните архиви. След това хакерите могат много по-спокойно да осъществят един наистина сериозен удар.
Днес можем да видим, че руският сайт за споделяне на видеа Rutube работи без проблеми. Не се съобщава колко е струвало възстановяването на софтуерната инфраструктура и какви хардуерни промени са направени. Според Карен Назарян, това е струвало на Rutube около 100-150 милиона рубли, но при условие, че са се запазили някакви резервни копия. В противен случай всичко започва почти отново и сумата би била много по-голяма.
Самата Rutube съобщи днес, че според направеното изследване на аналитичната компания Mediascope. активната аудитория на руския видео хостинг стремително се увеличава. Месечната аудитория на Rutube за периода от март до април тази година е нараснала със 161% в сравнение с края на 2021-ва и началото на 2022-ра година, като към края на месец април активните потребители на Rutube са достигнали 16,4 милиона души.
Едновременно с това се прави сравнение с американската YouTube, аудиторията на която за периода март-април 2022-ра не се променил особено много и е останал на ниво 90 милиона души, само че в тази статистика са включени потребителите на възраст над 12 години. Мащабите са много различни, но Rutube вече успешно привлича нови работодатели.