Утром 9 мая 2022 года Rutube подвергся хакерской атаке, об этом говорилось в заявлении на официальном сайте. Позже появилась информация, что в результате кибератаки код сайта оказался «полностью удален» и его не получится восстановить. «Хайтек» разбирается, что могло произойти.
Взлом и удаление кода или пиар-акция — российский видеохостинг Rutube вышел из строя на несколько дней, и причины до сих пор не известны.
Что произошло?
9 мая в новостях появилась информация про массовые хакерские атаки на телевизионные каналы и Rutube. Видеохостинг нелся было открыть больше суток, и проблема оказалась серьезной, так как нельзя было просто восстановить все из резервных копий.
В тот же день произошел взлом поставщика информации о расписании телевизионных каналов. 11 марта Rutube вновь стал доступен пользователям, объявила команда сервиса.
Как была организована атака или атаки?
Александр Герасимов, директор по информационной безопасности и сооснователь Awillix, считает, что это была атака на цепочку поставщиков (Supply chain attack). Это когда хакеры атакуют не конечную цель, а более слабое звено в цепочке ее поставщиков.
В таком случае, если получится скомпрометировать поставщика, то удастся сделать то же самое и с его клиентами. В данном случае, взломав одного поставщика расписания телеканалов, злоумышленники получили серьезное влияние на всю цепочку.
Но, по словам Герасимова, нет 100% уверенности, что все произошло именно так. Появляется информация, что провайдеры не были взломаны и подмена была на стороне встроенного IPTV-проигрывателя. Плеер IPTV — это программа, с помощью которой на компьютере можно просматривать потоковые видеоролики.
Поэтому нужно провести расследование, в котором рассмотрят сценарии, в которых был не только внешний, но и внутренний нарушитель. Атака могла быть проведена изнутри организации поставщика, отмечают в Rutube.
По итогам атаки на Rutube есть две наиболее распространенный версии случившегося, которые обсуждаются в профессиональных сообществах по кибербезопасности:
- Плохая сегментация сети. Благодаря взлому в одном месте, в итоге удалось добраться до критичных ее элементов и вывести их из строя.
- Наличие внутреннего злоумышленника (нелояльного сотрудника), который сам сумел скомпрометировать инфраструктуру или с его помощью злоумышленники смогли получить необходимый доступ.
Среди способов, с помощью которых злоумышленникам удалось пробраться во внутреннюю сеть, Герасимов выделил несколько основных:
- Низкое качество исходного кода с точки зрения безопасности.
- Уязвимости во внешней ИТ-инфраструктуре и web-окружении самого сервиса.
- Уязвимости в логике работы сервиса.
- Уязвимости в сторонних компонентах и библиотеках.
- Использование устаревшего программного обеспечения.
Что пострадало в результате атаки?
Ключевые элементы в инфраструктуре сервиса пострадали от атаки. По словам Герасимова, возможно, эти элементы шифровали, поэтому восстановить работу видеохостинга удалось не сразу.
«Существует множество примеров применения вирусов-шифровальщиков, когда от жертвы впоследствии требуют выкуп. Данный тип атак способен блокировать работу крупнейших организаций и их инфраструктур. Таким атакам уже подвергались миллионы компаний, например, была остановка работы крупнейшего нефтепровода на территории США — American Pipeline или блокировка работы крупнейшего международного производителя мяса компании JBS», — отметил Герасимов.
Ранее считалось, что основная угроза, которой подвергаются отечественные ресурсы — это DDoS атаки. Но в последнее время атаки стали сложнее.
«В случае с Rutube также настораживает тот факт, что получив доступ такого уровня, злоумышленники могли контролировать все данные, включая персональную информацию о пользователях сервиса», — считает эксперт.
Были ли подобные атаки раньше?
Любые атаки на поставщиков носят глобальный характер и это наиболее опасный вид атак.
«Наиболее громкими премьерами в последнее время являлись атаки на крупнейших поставщиков программного обеспечения таких как Kaseya и Solarwinds, в результате которых пострадали миллионы компаний и государственных учреждений по всему миру», — отметил Герасимов.
Как не попасть под такую же атаку повторно?
Низкий уровень защищенности можно исправить с помощью стандартных методов. В частности, нужно своевременное проведение тестирований на проникновение и анализ защищенности системы и исходного кода приложений. Во время таких проверок, происходит имитация различных действий злоумышленников, в результате компании и интернет-сервисы узнают о всевозможных проблемах в системе безопасности и могут оперативно их устранить.
Читать далее:
Американский спутник «разглядел» с Земли необычное послание
Опубликовано видео с ракеты, которую запустили из экспериментального ускорителя
Гигантскую воронку нашли в Китае. Там могут скрываться неизвестные науке виды