Rutube привлек к расследованию атаки компании из России и Израиля

Сумму ущерба от взлома видеосервиса пока оценить не удается
Максим Стулов / Ведомости
Максим Стулов / Ведомости

Расследованием обстоятельств атаки на российский видеохостинг Rutube и к его восстановлению привлекли крупнейшие компании по кибербезопасности – Positive Technologies, «Лабораторию Касперского» и входящую в «ИКС холдинг» компанию «Бастион», заявил замгендиректора «Газпром–медиа» Александр Моисеев, в который входит атакованный Rutube, выступая на молодежном форуме по управлению интернетом Youth RIGF. Также к расследованию подключилась израильская компания CheckPoint.

Ситуацию с параллельной работой крупнейших компаний по кибербезопасности над расследованием инцидента и восстановлением работы сервиса он назвал «состоянием RedAlert». «Оно принимается очень редко: вирусные эпидемии категории RedAlert в истории случались очень немного раз, их можно на пальцах пересчитать. Так вот мы договорились, что в эти дни у нас RedAlert случился касательно «Руформа» (юрлицо RuTube – прим «Ведомостей»). И инфобезники в этот день объединяются и обмениваются базами. Это редкое событие, как парад планет, оно случилось», – рассказал Моисеев отвечая на вопрос «Ведомостей».

9 мая российский видеохостинг Rutube подвергся крупнейшей в истории компании хакерской атаке, сервис оставался недоступен несколько суток. При этом в компании заявляли, что данные пользователей платформы не попали под контроль злоумышленников, была полностью сохранена библиотека контента на сервисе, а его исходный код не был утрачен. В дальнейшем сервис сообщил, что обратился в правоохранительные органы по факту инцидента.

«У нас на данный момент работают практически все компании (по кибербезопасности. – Прим). Group-IB у нас делала изначально аудит, на него всё упиралось. В последние дни у нас было три компании, которые находились on frame, это «Бастион» (входит в «ИКС холдинг». – Прим. «Ведомостей»), «Лаборатория Касперского», Positive Technologies. Еще CheckPoint. У каждой компании есть сильный компонент, который нам был необходим в этот момент», – рассказал Моисеев.

«Наша команда PT Expert Security Center занимается расследованием этого инцидента (атаки на Rutube) и реагированием на него, также мы даем рекомендации по улучшению состояния кибербезопасности сервиса», – рассказал «Ведомостям» представитель Positive Technologies. По его словам, сейчас работы специалистов этой компании включают в себя восстановление хронологии действий злоумышленников, выявление полного перечня элементов инфраструктуры, затронутых инцидентом, сбор данных об особенностях использованного технического инструментария и проч. «Это необходимо для того, чтобы «вычистить» злоумышленников из инфраструктуры и перекрыть им возможные пути возвращения», – добавил представитель компании

Представитель «Лаборатории Касперского» подтвердил «Ведомостям», что компания участвует в восстановлении работы Rutube и повышении его защищенности.

Представитель «ИКС холдинга» отказался от комментариев, в офисе CheckPoint на момент сдачи материала не ответили на запрос.

По словам представителя Group–IB, компания проводила «ряд тестирований на проникновение» к инфраструктуре Rutube, но это было еще до 2021 г., а результаты исследования были направлены руководству сервиса в начале прошлого года. После этого Group–IB никаких исследований для Rutube не проводила, добавил представитель компании. Но говорить о выявленных в рамках тогда уязвимостях RuTube представитель Group–IB не стал, сославшись на NDA.

В официальном заявлении Group–IB касательно инцидента с Rutube говорилось, что в марте 2021 г. Group–IB и «Руформ» заключили комплексное соглашение. В рамках соглашения продукты компании могли использоваться видеохостингом, но все работы по проекту были остановлены по инициативе другой стороны, а большая часть контрактов аннулирована, сообщала Group-IB. «Никаких претензий у сторон друг к другу нет. Group–IB неизвестно, средства защиты какого вендора в итоге были выбраны заказчиком и используются сейчас в его инфраструктуре», – утверждала компания.

Оценить стоимость атаки, а также назвать сумму издержек на устранение ее последствий Моисеев отказался. «Если мы говорим про какие–то базовые вещи (кибератаки. – Прим. «Ведомостей»), стоят они сотни и десятки тысяч долларов. Если мы говорим про вещи сложные, «интерпрайзового толка» (к такому и относят атаку на сервис. – Прим. «Ведомостей»), то они стоят миллионы. Атаки, которые целевые, на инфраструктуру, они стоят других денег, гораздо дороже», – отметил топ-менеджер, Он подчеркнул, что данных о стоимости проведения таких атак в открытом доступе нет. «Это целый криминальный бизнес», – добавил Моисеев.

По словам топ–менеджера «Газпром–медиа», расходы на восстановление сервиса и устранение последствий атаки на него состоят из трёх частей. «Фактор номер один – это прямые расходы на восстановление: дополнительные часы людей, дополнительная инфраструктура, работа консалтинговых компаний, это, в том числе и материалы, которые требуются на эту работу», – отметил Моисеев. Он добавил, что также надо учесть упущенную выгоду от продаж рекламы на фоне «просадки» аудитории RuTube. «Есть третья часть – это косвенные убытки, маркетинговые, репутационные убытки, это связано с просадкой базы», – сказал Моисеев.

В холдинге рассчитывают на восстановление аудитории RuTube, чему будут способствовать обновления сервиса, но общая стоимость маркетинговой кампании увеличится именно из–за этой просадки на фоне атаки. «И вот эта общая сумма – она колоссальная, мы ее пока не посчитали», – резюмировал Моисеев.

Деталей по атаке нет, поэтому оценить ее стоимость, а также стоимость восстановления сервиса проблематично, отмечает бизнес–консультант по кибербезопасности Алексей Лукацкий. По его словам, атака затронула внутренности сервиса; вопрос в том, как злоумышленники получили к нему доступ. Это может быть или найденная ими брешь в платформе Rutube, например, в веб–сервисах, или «внутренний саботаж», когда аварию устроили несколько действующих или бывших сотрудников Rutube, или же брешь была найдена в исходном коде, который залили на какой-то открытый репозиторий типа GitHub, перечисляет Лукацкий.

«Возможен и такой вариант, что доступ к внутренним системам сервиса был получен при помощи фишинговой атаки на одного или нескольких сотрудников видеохостинга», – отметил Лукацкий. Контракт на аудит, а также на пентест (тестирование защищенности ИТ–инфраструктуры компании при помощи моделирования атаки) с одной крупной компанией по кибербезопасности эксперт оценивает в сумму порядка 10–20 млн руб.