20 мая 2022. На полях форума Positive Hack Days в Москве обсуждается одна из самых громких хакерских атак этого года — нападение на RuTube и ее последствия, сообщает корр. ИА PrimaMedia с площадки форума.
Хакерская атака на RuTube произошла в 4 утра 9 мая. Злоумышленникам удалось серьезно повредить инфраструктуру ресурса и компоненты сервисов.Об этом рассказал заместитель генерального директора "Газпром Медиа Холдинг" Алексей Моисеев.
"Злоумышленники сильно постарались, гадостей определенных понаделали. Пострадала вся инфраструктура, пострадали компоненты сервисов. Кусок базы связанности пострадал — это то, что организует связи между видеоархивом и пользовательскими данными. Пользовательские данные не были затронуты. То, что мы в первую очередь смогли спасти — это видеоархив, это самое важное. И цель хакеров была — полное уничтожение, полная аннигиляция. Мы это смогли вовремя остановить и в короткие сроки, правда, болезненно — ребята 50 часов не спали — это дело оживить", — сообщил Алексей Моисеев
Через 50 часов после атаки на "Рутубе" возобновилась видеоотдача, доступ к хранению данных, индексация, карусели. Следом специалисты оживляли стриминги, подгрузку видео, поиск. А вот доступ к личным кабинетам восстановился совсем недавно.
"Сегодня мы не на сто процентов мощности запущены, мы постепенно поднимаем сервисы и проблематика связана с тем, что мы очень тщательно проверяем все данные на предмет того, какие могли остаться артефакты. Эти негодяи оставили кучу закладок в коде и скриптах, которые могут потом запуститься и нанести определенный ущерб. Это сейчас все вычищается и требует определенного времени", — разъяснил Моисеев.
Он отметил, что в настоящее время правоохранительные органы проводят свое расследование этого уголовного дела: "Мы настроены воинственно — найти негодяев".
Директор экспертного центра безопасности Positive Technologies Алексей Новиков вместе с коллегами участвует в расследовании этого инцидента. По его словам, на вопрос "кто?" ответят правоохранительные органы, а перед специалистами по кибербезопасности стоит задача ответить на вопрос "как?".
"Мы занимаемся анализом технических данных, техник и тактик, которые применялись во время атаки и поиском технических следов, которые остались в инфраструктуре. Эти следы должны нам помочь выстроить всю цепочку событий в хронологическом порядке и показать, где был злоумышленник, что он делал, когда он туда попал и т.д. На текущий момент для нас самое главное — сбор данных. Потому что с точки зрения дальнейшей работы сервиса ответ на вопрос "как?" — самый важный. Потому что надо сделать так, чтобы такие атаки гарантированно на этот сервис не повторялись", — сообщил Алексей Новиков.
Он отметил, что некоторые хакерские следы в инфраструктуре датированы еще апрелем этого года. То есть атака готовилась ни одну неделю.
"Злоумышленники использовали общественно доступный инструментарий — фреймворки, в каких-то узлах присутствовал вполне известный коммерческий инструмент для пинтестеров. Злоумышленники прекрасно понимали, какой легитимный инструментарий они смогут использовать в инфраструктуре. Они использовали те же самые инструменты, которые используют в обычной жизни IT-администраторы для того, чтобы перемещаться внутри инфраструктуры, исследовать ее и т.д. Они использовали различные сканнеры. Видно, что они сканировали инфраструктуру, знакомились с ней, смотрели, какие в ней есть сетевые доступы", — разъяснил эксперт.
Напомним, в эти дни в Москве проходит международный форум по практической безопасности Positive Hack Days 11. Сквозная тема этого года — вход в эру INdependence. Программа форума — это плотный поток из десятков докладов, секций и круглых столов по информационной безопасности; всего запланировано около 100 выступлений. Одновременно с форумом проходит и самая масштабная в мире открытая кибербитва The Standoff: главной ее темой стал эффект бабочки — зрители и участники битвы могут узнать, как реализация недопустимого события в одной отрасли может повлиять на другие и государство в целом.