Восстановление работы Rutube после взлома может занять более недели

Но руководство компании знало об уязвимостях с прошлого года, выяснили «Ведомости»
Восстановление работы Rutube после взлома может занять более недели
Восстановление работы Rutube после взлома может занять более недели / Максим Стулов / Ведомости

Российский видеохостинг Rutube подвергся крупнейшей в истории компании хакерской атаке. Об этом стало известно из официального заявления сервиса, опубликованного рано утром 9 мая. На 18.00 10 мая сервис все еще был недоступен. При попытке захода на сайт сервис выдает сообщение: «Сайт был атакован. В настоящий момент ситуация находится под контролем. Данные пользователей сохранены. Ведутся работы по восстановлению доступа к платформе».

Rutube днем 10 мая отказывался назвать возможные сроки восстановление работы сайта, объясняя тем, что это потребует больше времени, чем изначально предполагали инженеры. Но третьим лицам не удалось получить доступ к видеоархиву: «Вся библиотека, включая пользовательский контент, по-прежнему сохранена на сервисе», – говорится в заявлении компании, опубликованном в ее Telegram-канале.

Гендиректор Rutube Александр Моисеев передал через представителя: «Нам удалось частично оправиться после серьезнейшей атаки. Поврежденная часть инфраструктуры полностью восстановлена. Сейчас Rutube последовательно возобновляет работу сервиса». По словам топ-менеджера, в первую очередь будет восстановлено смотрение видеохостинга. Уже 10 мая Rutube планировал возобновить эфирное вещание и работу стриминговых сервисов, отметил он. Информацию о дальнейших этапах возобновления работы Моисеев обещал предоставить позже.

Rutube также опровергал информацию об утере исходного кода. «Мрачные прогнозы не имеют ничего общего с настоящим положением дел: исходный код доступен, библиотека цела. Сейчас идет процесс по восстановлению сегментов файловой системы удаленных сред и баз на части серверов», – заверил технический директор Rutube Андрей Литвинов.

На Rutube была совершена целевая атака, направленная на вывод из строя сервиса, в результате которой атакующие удалили ряд критических данных, объясняет директор экспертного центра безопасности Positive Technologies Алексей Новиков. Одновременно злоумышленники выкачивали некоторый объем данных, которые в дальнейшем использовали для публичного подтверждения факта атаки (выкладывание документов в публичном поле), продолжает он.

Positive Technologies ведет работы по расследованию и реагированию на инцидент (по опыту это может занять от 1,5 до 3 недель, учитывая масштаб «поражения»), говорит Новиков. Сейчас работы ведутся в контексте восстановления хронологии действий злоумышленников для того, чтобы «вычистить» их из инфраструктуры и перекрыть им возможные пути возвращения, рассказал эксперт. После окончания расследования можно будет дать точный ответ на вопрос о том, стоял ли за атакой кто-то из сотрудников или злоумышленник не имел отношения к компании, уточнил он.

Но руководство компании было осведомлено об уязвимости инфраструктуры сервиса, следует из служебной записки директора по безопасности ООО «Руформ» (юрлицо сервиса Rutube) в адрес бывшего гендиректора компании Алексея Назарова от 25 октября 2021 г. (копия документа есть в распоряжении «Ведомостей»).

На основании записки было санкционировано проведение проверки по факту поставки серверного оборудования компанией ООО «Траст» (дочка ООО «Груп Айби сервис» – Group-IB). Из письма следует, что Group-IB должна была оказать Rutube услуги по внешнему и внутреннему тестированию на проникновение в отношении инфраструктуры сервиса, провести анализ защищенности веб-сервиса, а также предоставить право пользования лицензии на ПО Group-IB Fraud Hunting Platform и других программных продуктов компании. Согласно письму, «Траст» поставил Rutube «неработоспособные» решения, а ущерб составил более 407 млн руб.

Представитель Group-IB отказался от комментариев.

Rutube мог не успеть сменить подрядчика или провести новую закупку после этого инцидента, считает гендиректор компании «Киберполигон» Лука Сафонов.

Опрошенные «Ведомостями» эксперты сходятся во мнении, что атака была проведена злоумышленниками, а не сотрудниками компании. Но фактически атака инсайдера никак внешне не отличается от атаки злоумышленника, подобравшего доступ к серверу, уточняет топ-менеджер крупной компании в сфере кибербезопасности. По его словам, утратить исходный код современного веб-сервиса практически невозможно. «Кроме того, понятие «коды доступа» (к серверам) позаимствовано из дешевых голливудских боевиков, такого термина в IT нет», – говорит он.

«Не думаю, что весь код был уничтожен, у проектов такого масштаба должны и скорее всего есть внешние резервные копии, – соглашается с ним Сафонов. – Но в любом случае даже при наличии резервных копий восстановление займет, по моим оценкам, от недели и будет стоить несколько десятков миллионов рублей».

Задержки с восстановлением доступа к сервису, по мнению экспертов, могут быть связаны с тем, что исходный код разворачивался на серверах «руками», без автоматизации, и теперь нужно за несколько дней воспроизвести весь слой «костылей», который разработчики создавали на протяжении 10 лет.