Подвергшийся масштабной атаке российский видеохостинг Ruтube (входит в холдинг «Газпром Медиа» и иногда рассматривается как альтернатива YouTube на случай блокировки последнего) третий день остаётся недоступным для посетителей. На главной странице сервиса говорится, что на сайте ведутся технические работы, а данные пользователей сохранены. Однако, как заверяют в экспертном центре безопасности Positive Technologies, который проводит расследование инцидента, хакеры удалили несколько важных данных и выкачали информацию, в том числе сведения учётной записи телеведущего Владимира Соловьёва, а также предполагаемую переписку руководства соцсети с ФСБ. Из последней следует, что в 2021 году Ruтube привлекал к сотрудничеству дочернюю структуру — компании Group-IB подозреваемого в госизмене предпринимателя и программиста Ильи Сачкова. Этой структуре якобы заплатили более 400 млн рублей по различным договорам, в том числе на оказание услуг по тестированию систем безопасности. Впрочем, в Group-IB заявили, что их продукты не использовались для защиты видеохостинга от кибератак. Подробности — в публикации NEWS.ru.


Собиратели «критических данных»

Проблемы с доступом к сервисам Ruтube у посетителей и пользователей видеохостинга начались рано утром 9 мая. После 07:00 мск, стало известно, что их ресурс подвергся мощной кибератаке. Примерно через час в Тelegram-канале компании заверяли, что «специалисты локализовали инцидент» и начали проводить «работы по обеспечению безопасности».

«Хакерская атака доселе неизвестным методом»: что случилось с Ruтubeshutterstock.com

Оперативная группа реагирования уже работает над восстановлением доступа к видеосервису. Сколько времени займет процесс восстановления, станет понятно в ближайшее время, — говорилось в пресс-релизе Ruтube.

Также представители проекта отмечали, что «третьим лицам не удалось получить доступ к видеоархиву» и что «вся библиотека, включая пользовательский контент, по-прежнему сохранена на сервисе». При этом представители Ruтube не скрывали, что сайт столкнулся «с крупнейшей в истории компании кибератакой», связывая это с попыткой неизвестных помешать провести трансляцию парада к Дню Победы.

Через сутки, 10 мая, в компании опровергли, что столкнулись с утерей исходного кода сайта, добавив, что «восстановление потребует больше времени, чем изначально предполагали инженеры». При этом глава Ruтube Александр Моисеев заявил, что «повреждённая часть инфраструктуры полностью восстановлена».

В среду, 11 мая, в Ruтube заявили, что для расследования атаки и устранения её последствий привлекли команду специалистов экспертного центра безопасности Positive Technologies. Представитель последней Денис Гойденко заявил, что за двое суток работы стал понятен инструментарий, который использовали хакеры.

Работы очень много, потому что инфраструктура Ruтube довольно-таки большая и комплексная. Сейчас мы стараемся найти во всех частях инфраструктуры Ruтube весь инструментарий хакеров, чтобы перекрыть хакерам возможные пути возвращения, — сказал Гойденко.

Директор Positive Technologies Алексей Новиков ранее заявил, что взломщики ставили себе главной целью вывод ресурса из строя, поэтому они удалили несколько «критических данных», а параллельно «выкачали определенный объем внутренней информации сервиса». В частности, в соцсетях стали появляться скриншоты учетной записи в Ruтube телеведущего Владимира Соловьёва с его электронной почтой. Кроме этого, в анонимных Telegram-каналах и различных аккаунтах в других соцсетях обнародована копия письма экс-гендиректора ООО «Руформ» Александра Назарова (эта компания контролирует Ruтube и на 100% принадлежит «Газпром-Медиа») начальнику управления «П» службы экономической безопасности ФСБ Наибу Нагуманову, который координирует контрразведывательное обеспечение борьбы с коррупцией в промышленной сфере.

Как следует из письма, в 2021 году тестировать инфраструктуры видеохостинга, а также поставлять серверное оборудование и программное обеспечение для нужд Ruтube должны были дочерние структуры компании Group-IB, основанной предпринимателем Ильёй Сачковым. Последний в сентябре 2021 года был задержан и отправлен в СИЗО «Лефортово» по подозрению в госизмене. Позднее Назаров информировал Нагуманова, что 25 октября им назначена служебная проверка, которая показала, что договоры с «дочками» Group-IB нанесли ООО «Руформ» ущерб на сумму более 407 млн рублей, а в действиях контрагентов могут быть признаки уголовных преступлений.

«Хакерская атака доселе неизвестным методом»: что случилось с RuтubeАртём Соболев/NEWS.ru

Назаров в частности отмечал, что в марте 2021 года менеджмент ООО «Руформ» решил заключить договоры по решениям в области информационной безопасности видеосервиса, однако на момент закупки оборудования в рамках этих соглашений «отсутствовало документальное обоснование в необходимости реализации средств защиты, также, как техническое задание и проектная документация по интеграции средств защиты от киберугроз».

Между тем в Group-IB заявили, что во время атаки 9 мая и до неё, продукты компании не использовались для защиты Ruтube.

Нам неизвестно о происхождении опубликованного в посте письма, его подлинности и реальном авторстве. Однако мы можем утверждать, что оно содержит ряд технических, логических, юридических, математических и даже грамматических ошибок. Часть указанных сумм контрактов не соответствует действительности, подписанты со стороны Group-IB также указаны неверно. Документ содержит ряд домыслов относительно процедур выбора комплекса ПО, а также согласования сделок, — заявил представитель Group-IB Дмитрий Волков.

При этом в компании Ильи Сачкова признали, что продукты Group-IB «могли быть использованы для защиты ООО „Руформ“ в рамках комплексного проекта, соглашения по которому были подписаны в марте 2021 года, однако работы по проекту, которые должны были начаться в апреле 2021 года, были остановлены по инициативе ООО „Руформ“». Также в компании заверили, что значительная часть контрактов с Ruтube была аннулирована, но никаких претензий у сторон друг к другу нет.

В Group-IB признали, что компания «проводила ряд тестирований на проникновение для ООО „Руформ“ до 2021 года». По результатам тестирования в феврале 2021-го видеохостинг получил отчёт с «рекомендациями по усилению мер защиты».

Выполнение рекомендаций всегда остается на стороне клиента. Нам доподлинно неизвестно, были ли они выполнены. Повторных аудитов мы не проводили, — добвили в Group-IB.

«Слишком сложный схематоз»

По мнению руководителя «Общества защиты интернета» Михаила Климарёва (признан в РФ иноагентом), у «слома» Ruтube могло быть несколько причин. Одна из них — это «реальная хакерская атака доселе неизвестным методом». Он подчёркивает, что в мире существуют «миллионы интернет-проектов на которые хакеры могли бы обратить внимание и уронить». Но такое случается «очень редко», потому что «есть службы безопасности и они-таки работают». В данном случае, если Ruтube вывели из строя хакеры, это вызывает вопросы к службе безопасности сервиса.

«Хакерская атака доселе неизвестным методом»: что случилось с Ruтubeshutterstock.com

Вторая версия, по мнению Климарёва, этот «внутренний саботаж» тех сотрудников, которые по каким-то причинам решили изнутри «сломать собственный сервис», что, опять же, вызывает вопросы к службе безопасности Ruтube и лично экс-руководителю Роскомнадзора, а ныне главе холдинга «Газпром-Медиа», куда входит видеорхостинг, Александру Жарову.

Третьей версией случившегося, по мнению Михаила Климарёва, могла стать некомпетентность руководства компании и службы безопасности в части работы с персоналом и «внешним контуром».

Ещё одной дополнительной причиной падения Ruтube,как считает эксперт, могла стать «диверсия, чтобы скрыть хищения». При этом IT-специалист не очень верит в то, что всё могло быть именно так, потому что «это слишком сложный схематоз».

В свою очередь руководитель информационно-аналитического агентства TelecomDaily Денис Кусков в беседе с NEWS.ru заявил, что произошедшее с Ruтube может случиться с любым ресурсом. Такое, по его словам, было с Instagram и Facebook (обе соцсети признаны экстремистскими и запрещены в РФ), а также WhatsApp, хотя уровень всех этих сервисов, по его словам, не сравнится ни с одним из российских приложений.

В принципе, наверное это не первая и не последняя такая ситуация. Минусы — это однозначно время. Конечно же, компания уровня «Газпром-Медиа» не может на протяжении стольких дней выходить из ситуации. Очевидно, что это в том числе последствия того, что Ruтube уже множество лет (соцсеть действует с 2006 года, но в начале 2022-го общее количество её посетителей превысило 30 млн человек в месяц, в то время как у созданного годом ранее YouTube этот же показатель ещё несколько лет назад был выше 2 млрд пользователей), трудилось над ним достаточно большое количество программистов. Вполне вероятно, отчасти проблема связана с тем, что трудно восстановить потерянные данные. Понятно, что без ухода иностранных игроков ситуация по Rutube не менялась бы от слова «совсем». Доля на рынке была маленькая, но уход импортных игроков даёт широкие возможности всем нашим площадкам, прежде всего «ВКонтакте», Rutube, Yappy. Однозначно данная ситуация не позитивна с точки зрения реноме компании, которая не смогла справиться с возросшими нагрузками, с подобными атаками, которым могут быть подвержены все, но главное, выйти сейчас из этой ситуации.

Денис Кусков генеральный директор ИАА TelecomDaily

Как заявил депутат Госдумы Антон Горелкин, Ruтube «вернётся в строй уже сегодня», то есть 11 мая. По его словам, восстановительные работы находятся «на завершающей стадии», однако по состоянию на 16:00 мск ресурс остаётся недоступным, хотя руководитель видеохостинга Александр Моисеев также заверил, что его команда «успешно завершила первый этап восстановления функционала платформы» и собирается сегодня запустить ресурс. По его словам, сейчас на платформе ведутся «нагрузочное тестирование и дополнительная проверка на уязвимость».

А Алексей Новиков из Positive Technologies сообщил, что после контрольных работ видеохостинг «будет выведен во внешний контур». Также, по его словам, работы «ведутся в контексте восстановления хронологии действий злоумышленника, выявления полного перечня элементов инфраструктуры, затронутых инцидентом, собираются данные об особенностях использованного технического инструментария». Это необходимо для того, чтобы вычистить злоумышленников из инфраструктуры и перекрыть им возможные пути возвращения.