Кейсы 12 мая 2022

Rutube жив или мертв? Что произошло с российским видеохостингом, которому «удалили код»

Далее

Утром 9 мая 2022 года Rutube подвергся хакерской атаке, об этом говорилось в заявлении на официальном сайте. Позже появилась информация, что в результате кибератаки код сайта оказался «полностью удален» и его не получится восстановить. «Хайтек» разбирается, что могло произойти.

Взлом и удаление кода или пиар-акция — российский видеохостинг Rutube вышел из строя на несколько дней, и причины до сих пор не известны. 


Что произошло?

9 мая в новостях появилась информация про массовые хакерские атаки на телевизионные каналы и Rutube. Видеохостинг нелся было открыть больше суток, и проблема оказалась серьезной, так как нельзя было просто восстановить все из резервных копий. 

В тот же день произошел взлом поставщика информации о расписании телевизионных каналов. 11 марта Rutube вновь стал доступен пользователям, объявила команда сервиса.

Как была организована атака или атаки?

Александр Герасимов, директор по информационной безопасности и сооснователь Awillix, считает, что это была атака на цепочку поставщиков (Supply chain attack). Это когда хакеры атакуют не конечную цель, а более слабое звено в цепочке ее поставщиков.

В таком случае, если получится скомпрометировать поставщика, то удастся сделать то же самое и с его клиентами. В данном случае, взломав одного поставщика расписания телеканалов, злоумышленники получили серьезное влияние на всю цепочку. 

Но, по словам Герасимова, нет 100% уверенности, что все произошло именно так. Появляется информация, что провайдеры не были взломаны и подмена была на стороне встроенного IPTV-проигрывателя. Плеер IPTV — это программа, с помощью которой на компьютере можно просматривать потоковые видеоролики.

Поэтому нужно провести расследование, в котором рассмотрят сценарии, в которых был не только внешний, но и внутренний нарушитель. Атака могла быть проведена изнутри организации поставщика, отмечают в Rutube.

По итогам атаки на Rutube есть две наиболее распространенный версии случившегося, которые обсуждаются в профессиональных сообществах по кибербезопасности:

  1. Плохая сегментация сети. Благодаря взлому в одном месте, в итоге удалось добраться до критичных ее элементов и вывести их из строя.
  2. Наличие внутреннего злоумышленника (нелояльного сотрудника), который сам сумел скомпрометировать инфраструктуру или с его помощью злоумышленники смогли получить необходимый доступ.

Среди способов, с помощью которых злоумышленникам удалось пробраться во внутреннюю сеть, Герасимов выделил несколько основных:

  • Низкое качество исходного кода с точки зрения безопасности.
  • Уязвимости во внешней ИТ-инфраструктуре и web-окружении самого сервиса.
  • Уязвимости в логике работы сервиса.
  • Уязвимости в сторонних компонентах и библиотеках.
  • Использование устаревшего программного обеспечения.

Что пострадало в результате атаки?

Ключевые элементы в инфраструктуре сервиса пострадали от атаки. По словам Герасимова, возможно, эти элементы шифровали, поэтому восстановить работу видеохостинга удалось не сразу. 

«Существует множество примеров применения вирусов-шифровальщиков, когда от жертвы впоследствии требуют выкуп. Данный тип атак способен блокировать работу крупнейших организаций и их инфраструктур. Таким атакам уже подвергались миллионы компаний, например, была остановка работы крупнейшего нефтепровода на территории США — American Pipeline или блокировка работы крупнейшего международного производителя мяса компании JBS», — отметил Герасимов.

Ранее считалось, что основная угроза, которой подвергаются отечественные ресурсы — это DDoS атаки. Но в последнее время атаки стали сложнее. 

«В случае с Rutube также настораживает тот факт, что получив доступ такого уровня, злоумышленники могли контролировать все данные, включая персональную информацию о пользователях сервиса», — считает эксперт.

Были ли подобные атаки раньше?

Любые атаки на поставщиков носят глобальный характер и это наиболее опасный вид атак. 

«Наиболее громкими премьерами в последнее время являлись атаки на крупнейших поставщиков программного обеспечения таких как Kaseya и Solarwinds, в результате которых пострадали миллионы компаний и государственных учреждений по всему миру», — отметил Герасимов.

Как не попасть под такую же атаку повторно?

Низкий уровень защищенности можно исправить с помощью стандартных методов. В частности, нужно своевременное проведение тестирований на проникновение и анализ защищенности системы и исходного кода приложений. Во время таких проверок, происходит имитация различных действий злоумышленников, в результате компании и интернет-сервисы узнают о всевозможных проблемах в системе безопасности и могут оперативно их устранить.


Читать далее:

Американский спутник «разглядел» с Земли необычное послание

Опубликовано видео с ракеты, которую запустили из экспериментального ускорителя

Гигантскую воронку нашли в Китае. Там могут скрываться неизвестные науке виды