Хроника восстановления Rutube
Российский видеохостинг Rutube восстановил свою работу вчера после падения 9 мая. Мы писали о событии и сопровождавших его новостях ранее, но в процессе восстановления несколько подробностей были добавлены несколькими источниками.
Починили
Вчера в компании заявили, что работа видеохостинга восстановлена.
Как чинили
“Для расследования атаки и устранения ее последствий привлечены несколько экспертных команд, в частности команда специалистов экспертного центра безопасности Positive Technologies (PT Expert Security Center). Эксперты Positive Technologies уже вторые сутки вместе с сотрудниками RUTUBE занимаются решением проблемы. Предстоит большая работа, но уже есть первые результаты.”
Предварительное уведомление
Команда RUTUBE восстановила функционал платформы после мощной кибератаки.
Александр Моисеев, генеральный директор RUTUBE:
«Мы успешно завершили первый этап восстановления функционала платформы и намерены запустить видеохостинг сегодня. В данный момент на платформе проводится нагрузочное тестирование и дополнительная проверка на уязвимость».
Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center):
«Совместно со специалистами RUTUBE мы проводим контрольные работы, после чего видеохостинг будет выведен во внешний контур. Также работы ведутся в контексте восстановления хронологии действий злоумышленника, выявления полного перечня элементов инфраструктуры, затронутых инцидентом, собираются данные об особенностях использованного технического инструментария и проч. Это необходимо для того, чтобы «вычистить» злоумышленников из инфраструктуры и перекрыть им возможные пути возвращения».
Сообщение о поэтапности починки (орфография будущей базовой для нашего образования площадки сохранена)
“В целях обеспечения безопасности RUTUBE восстанавливает работу поэтапно.
⠀
Для просмотра пользователям уже доступно 99,5% библиотеки видео.
⠀
Фунционал для авторов цифрового контента будет появляться на видеохостинге последовательно.
1 этап: восстанавление студии автора контента и загрузки видео, мониторинг трансляций для пользователей.
Далее усиляем инфраструктуру для более быстрой загрузки.
2 этап: восстановление поиска и комментариев.”
К этому сообщению сервис приложил фото, которые вы видите на заставке.
Обвинили
Хостинг в ситуации со своим падением винит врагов и обратился “в органы”
“Rutube обратился в правоохранительные органы для расследования инцидента: 9 мая видеохостинг подвергся мощной кибератаке, после чего доступ к платформе был утерян. Сейчас доступ к Rutube частично восстановлен. Пользователям доступно эфирное вещание федеральных телеканалов”
ТГ канал “ЗаТелеком” также опубликовал документ, свидетельствующий о возможной утечке документов в сервисе в момент “хакерской атаки”, а также прокомментировал эту утечку следующим образом:
“Rutube не просто ломанули, но еще и, похоже, выкачали внутренние файлы. Образец документа из утечки: директор Rutube стучит в ФСБ, что сидящий за госизмену Сачков якобы нахимичил при поставках системы защиты от киберугроз. Итог: Сачков так и сидит, Rutube взломали. Вывод: не стучи в ФСБ, а занимайся защитой от угроз.”
Также канал иронизирует над предположениями депутата Горелкина, известного, как “эксперта” в вопросах, связанных с интернетом. Нам, кстати, предположение кажется здравым и может увеличивать шансы проблем.
Кроме того ТГ канал “За Телеком” даёт и развёрнутый текст о “главном виновном” (орфография автора)
“Про Рутюб. А давайте проанализируем, что там вообще случилось.
Версии случившегося — у меня есть три:
1. Реальная хакерская атака доселе неизвестными методом
Вообще, в мире существуют сотни, тысячи и миллионы интернет-проектов на которые хацкеры могли бы обратить внимание и уронить. И да — такое случается. Но очень редко. Почему? Ну, потому что есть службы безопасности и они таки работают. Если на Рутюб напали и довели ресурс до неработоспособности, то это означает, что служба безопасности в Рутубе — говно. И даже больше — абсолютное, полное, никчемное говно.
А кто назначил рукойводителя этой службы? Правильно! Лично Ксанксаныч Жаров.
2. Вторая версия — внутренний саботаж. Ну, то есть, кто-то изнутри Рутуба взял, да и сломал собственный сервис. Довольно талантливо и качественно сломал, надо отметить — третьи сутки не работает.
Почему так произошло? Ну, кто-то был недоволен тем, что происходит политически Или личная-экзистенциальная причина. Возможно, подкупили. Но мы об этом не узнаем. Если это сделал одиночка, то чувак героический.
Но это не оправдывает того факта, что служба безопасности Рутуба и лично Жаров — профессионально непригодны. Вот как так получилось, что у одного человека вообще все доступы в руках — и от прода, и от репозиториев, и от бэкапов? Так в нормальной конторе не бывает.
3. Некомпетность вообще. Этот вариант наиболее вероятен и скорее всего сочетает оба два выше: некомпетеное руководство назначает идиотов в СБ, которые просирают вообще все, включая и работу с персоналом, и с внешним контуром. И я почти уверен, что таки и было, потому что зная методы работы в госструктрурах, я могу быть абсолютно уверен, что огромное число сотрудников недовольны положением.
В любой российской госконторе процветает кумовство и непотизм. На повышение идут лояльные, а не компетентные изгоняются системой. Чтоб получить премию в таких конторах нужно быть не профессионалом, а уметь лизнуть начальству.
Стоит ли удивляться, что в Рутубе зевнули крота, запутали контроль доступов, проморгали дыру во внешнем контуре — вообще что угодно просрали. Я не удивлюсь, что именно так и было.
Но уверен, что постмортема мы не увидим. Не та это контора, чтоб открыто заявлять, что там начальник — идиот.
4. Есть еще одна конспирологическая версия — это диверсия, чтоб скрыть хищения. Я не очень в нее верю, потому что это слишком сложный схематоз для Жарова. Он же реально в своей жизни ни одного проекта до конца не довел. Единственное, что он действительно хорошо умеет — описывать собственные победы. И то, что сейчас появляются оправдалки, что «взлом здалал анонимус» — это доказывает. Тут нужно понять, что никакого анонимуса не существует: любой может назвать себя анонимусом, но как только назвал, то перестает быть таковым (силлогизм второго порядка, между прочим). И это очень удобно — свалисть все на бессловестного анончика, да.
Но чтоб продумать хитрый план по взлому Рутуба, чтоб оправдать сотни нефти, которые там были украдены (кто-то сомневается, что украли?) — это вряд ли.
Ну, потому что в любом случае, при любой версии: В ТОМ, ЧТО СЛОМАЛСЯ РУТУБ ВИНОВАТ ЛИЧНО А.А.ЖАРОВ. И больше никто.”
Опровергнули
Официальное опровержение
Group-IB относительно
использования технологий
компании для защиты
инфраструктуры Руформа
(владелец видеохостинга
Rutube)
Москва, 11.05.2022 — Компания Group-IB, один из лидеров в сфере кибербезопасности, официально публикует опровержение относительно недостоверной информации: связанной с применением ее технологий для защиты инфраструктуры Руформа (владелец видеохостинга Rutube).
9 мая в 16:10 в одном из аккаунтов в социальной сети Twitter был опубликован пост пользователя под ником sudormRF-6, создавший почву для домыслов и появления множества источников недостоверной информации относительно участия Group-IB в проекте по защите российского видеохостера Rutube, подвергшегося кибератаке 9 мая 2022 года, согласно официальному сообщению пострадавшей компании. Пост sudormRF-6 содержал скриншот письма, активно распространяемого сейчас в интернете. В связи с этим заявляем, что Group-IB полностью опровергает информацию о том, что продукты компании используются или когда-либо использовались для защиты от кибератак офисной или серверной инфраструктур или отдельных приложений видеохостера Rutube. Group-IB подчеркивает, что во время атаки 9 мая 2022 года, равно как и до нее, продукты Group-IB не использовались для защиты Rutube.
«Нам неизвестно о происхождении опубликованного в посте письма, его подлинности и реальном авторстве. Однако мы можем утверждать, что оно содержит ряд технических, логических, юридических, математических и даже грамматических ошибок, — комментирует Дмитрий Волков, CEO Group-IB. — Часть указанных сумм контрактов не соответствует действительности, подписанты со стороны Group-IB также указаны неверно. Документ содержит ряд домыслов относительно процедур выбора комплекса ПО, а также согласования сделок».
Отметим, что продукты Group-IB могли быть использованы для защиты ООО “Руформ” в рамках комплексного проекта, соглашения по которому были подписаны в марте 2021 года, однако работы по проекту, которые должны были начаться в апреле 2021 года, были остановлены по инициативе ООО “Руформ”. Большая часть контрактов между компаниями была аннулирована. Никаких претензий у сторон друг к другу нет. Group-IB неизвестно средства защиты какого вендора в итоге были выбраны заказчиком и используются сейчас в его инфраструктуре.
Также мы считаем необходимым указать, что никаких нарушений по контрактным обязательствам со стороны Group-IB допущено не было, равно как и никаких претензий к нам со стороны правоохранительных органов ни на одно юрлицо Group-IB по взаимодействию с ООО “Руформ” не поступало.
Стоит выделить и тот факт, что Group-IB проводила ряд тестирований на проникновение для ООО “Руформ” до 2021 года. По результатам тестирования клиент получил отчет (был сдан в феврале 2021 года) с рекомендациями по усилению мер защиты. Выполнение рекомендаций всегда остается на стороне клиента. Нам доподлинно неизвестно, были ли они выполнены. Повторных аудитов мы не проводили.
Относительно кибератаки 9 мая на Rutube, достоверно можем сообщить следующее:
• средств защиты от кибератак производства Group-IB на платформе Rutube не использовалось
• к реагированию на инцидент, имевший место 9 мая, Group-IB не привлекалась.
Соответственно нам нечего сказать об атаке и атакующих, кроме того, что доступ в инфраструктуру был получен.
Посчитали
Убытки из-за расходов на восстановление и потери дохода от рекламы могут составить до 1 млрд рублей, предположил директор департамента по продажам инвесткомпании «Вектор Икс» Сергей Звенигородский.
Проанализировали
“Главный аналитик” Алексей Петровский в своём ТГ канале #чокак приводит оценку траффика сервиса
Графики неплохо показывают 2 вещи:
- Rutube – один из главных “выигравших” в траффике видеосервисов после 24 февраля. Пик роста приходится на этот период
- По абсолютным значениям Rutube пока что уступает нескольким видеосервисам с подписной моделью монетизации.
Также добавим картину динамики роста траффика