Накануне вечером после 20:30 мск сайт RUTUBE вновь начал работать. Таким образом, для восстановления системы российским специалистам потребовалось всего два дня.
Одновременно представители RUTUBE опровергли появившуюся в СМИ информацию об утере в ходе нападения исходного кода, из-за чего ресурс, якобы, не подлежал восстановлению.
Позитивные технологии против хакеров
«Мрачные прогнозы не имеют ничего общего с настоящим положением дел: исходный код доступен, библиотека цела. Сейчас идет процесс по восстановлению сегментов файловой системы удаленных сред и баз на части серверов», — заявил технический директор RUTUBE Андрей Литвинов.
На помощь представителям онлайн-сервиса пришла команда специалистов экспертного центра безопасности Positive Technologies. Они вместе с сотрудниками RUTUBE занялись расследованием атаки и устранением ее последствий.
В комментарии «Эксперту» директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков отметил, что на данный момент работы по устранению последствий действий хакеров и расследованию причин инцидента продолжаются.
«По опыту это может занять от 1,5 до 3 недель, учитывая масштаб “поражения”. И только по окончанию расследования можно будет говорить о полной картине происшедшего», — заметил Алексей Новиков.
Эксперты центра безопасности Positive Technologies работают по двум направлениям. Во-первых, специалисты восстанавливают хронологию действий злоумышленников, выявляют полный перечень затронутых инфраструктурных элементов и так далее.
«Эти данные важны для того, чтобы “вычистить” злоумышленников из инфраструктуры и перекрыть возможные пути возвращения. Пока не будет завершено расследование, нельзя дать гарантий, что не произойдет повторная успешная атака», — констатировал Алексей Новиков,
Во-вторых, эксперты анализируют цепочки действий злоумышленника, выявляют слабых места в защите, выясняют причины, инцидент не был остановлен раньше, внедряют недостающие технологии.
В любом случае, Алексей Новиков уже подтвердил, что сервис RUTUBE подвергся «хорошо спланированной и целенаправленной атаке». Имеющиеся о злоумышленниках данные позволяют заявить, что атакующие точно знали, на кого именно проводят атаку, и что она не носила случайный характер.
Представитель Positive Technologies заметил, что на данный момент невозможно на 100% достоверно определить, кто конкретно стоит за атакой. В компании нацелены в первую очередь на технический анализ и противодействие злоумышленникам. Позднее все полученные артефакты будут переданы RUTUBE. «И коллеги со стороны сервиса смогут при необходимости использовать их для дальнейшего поиска злоумышленников вместе с правоохранительными органами», — добавил Алексей Новиков.
По его словам, активные действия злоумышленников против сервиса начались еще в апреле текущего года. Главной их целью было вывести RUTUBE из строя, именно поэтому преступники удалили ряд критически важных данных.
Напомним, 9 мая российский онлайн-сервис для хостинга и просмотра видео стал недоступен для пользователей. Ответственность за атаку взяли на себя активисты международной хакерской сети Anonymous, ранее уже виртуально нападавшие на различные российские сайты, принадлежащие как частным, так и государственным структурам.
Особенность проведенной атаки на сей раз заключалась в том, что злоумышленники выкачивали часть объема внутренней информации видеохостинга, чтобы использовать ее для публичного подтверждения нападения. Также в качестве цели заявлялось полное уничтожение видеоресурса. Как сейчас модного говорить на Западе, хакеры попытались «отменить» его навсегда по политическим причинам. Но достигнута эта цель не была.
Спецслужбы под масками «анонимусов»
Корреспондент «Эксперта» поговорил о случившемся с «белым хакером», специалистом по кибербезопасности Сергеем Вакулиным. Он подтвердил слова специалистов из Positive Technologies, что на данный момент сказать однозначно, что случилось с RUTUB, скорее всего, еще нельзя. Еще 9 мая Сергей Вакулин лично проверял работу видеохостинга.
«Два дня назад я сам посетил сайт RUTUB, после сообщений об атаке от журналистов. Была долгая погрузка сайта, что как раз характерно для DDoS-атак. Вообще, нужно понимать, что DDoS-атака направлена на то, чтобы отключить клиента от сайта, вывести оборудование сайта из строя. Однако 9 мая после долгой прогрузки RUTUB показалась ошибка HTTP. Это означает как раз неверный шлюз. Поэтому вероятно, что это была совместная работа — и DDoS-атака, и нанесение ущерба. В последующем RUTUB уже официально признали, что хотя исходный код все-таки не быт утерян, но с исходниками что-то случилось. В конечном итоге это и привело к тому, что на самих серверах RUTUB ничего не осталось», — заметил спикер.
При этом данного уровня проблемы нельзя считать глобальными, так как разработчики всегда используют backup — резервную копию сайта, напомнил Сергей Вакулин.
«RUTUBE, я надеюсь, вел централизованный обмен данными. Естественно, “бэкапы” он должен хранить вне данной системы, на сторонних серверах, которые не обслуживают сайт. К примеру, есть компания Selectel, серверами которой пользуются многие крупные компании, в том числе и ВКонтакте. И у ВКонтакте есть сервера и в Москве, и в Санкт-Петербурге. И на каждом сервере в разных городах есть “бэкапы”. Если, например, что-то случится с сервером в Москве, в основном бывали случаи, когда сервера горели, что приводит к уничтожению данных, то в таком случае прибегают как раз к “бэкапам”», — считает он.
Сергей Вакулин констатировал, что в России есть технологии, которые способны отражать самые серьезные кибератаки. Но определенный процент уязвимости остается даже у наиболее защищенных систем. Технология защиты от, например, DDoS-атак известна. Однако и сама атакующая сторона иногда готова затрачивать колоссальные средства на то, чтобы нападение было успешным. По словам эксперта, для проведения одной DDoS-атаки на крупную компанию может быть потрачено свыше 20 млн рублей.
«Уязвимости же, в отличии от DDoS-атак, могут затрагивать и данные пользователей, и данные всего сервиса. И если DDoS-атаки, скажем так, для специалистов в области IT “какая-то шутка”, то уязвимости — это уже серьезнее. И ответ защищающейся стороны также зависит от того, насколько у нее мощное оборудование, какие средства она использует для отражения от тех же DDoS-атак. Конечно, сейчас существуют компании, которые предоставляют целые комплексы такого рода услуг», — заметил Сергей Вакулин.
Что касается атаки Anonymous на RUTUBE, то, по мнению Сергея Вакулина, нападавших скорее можно отнести к хакактивистам, чем к реальной группировке хакеров. В том числе, очевидно, именно поэтому они берут на себя любую ответственность за взломы.
Для справки — хактивисты обычно весьма политизированы. Это такой своеобразный «анархический цифровой мировой разум», в рядах которого нет единства. Организованные же хакерские группировки зачастую по своей природе несколько более прагматичны и сплочены. Кстати, в IT-сообществе существует мнение, что под масками многоликих «анонимусов» порой скрываются спецслужбы некоторых западных стран.
Ситуация с RUTUBE, который на сегодня является единственной реальной отечественной альтернативной недружественному РФ YouTube, а значит имеет для Рунета стратегическое значение, показала, что для профилактики кибератак целесообразно превентивно задействовать все возможности — от привлечения крупных компаний, специализирующихся на информационной безопасности, до тестирующих сайты на уязвимость независимых «белых хакеров». Во всяком случае, это обойдется дешевле, чем потом восстанавливать частные или государственные сайты буквально из виртуальных руин.
