Хроника восстановления Rutube

Российский видеохостинг Rutube восстановил свою работу вчера после падения 9 мая. Мы писали о событии и сопровождавших его новостях ранее, но в процессе восстановления несколько подробностей были добавлены несколькими источниками.

 

Починили

Вчера в компании заявили, что работа видеохостинга восстановлена.

 

Как чинили

“Для расследования атаки и устранения ее последствий привлечены несколько экспертных команд, в частности команда специалистов экспертного центра безопасности Positive Technologies (PT Expert Security Center). Эксперты Positive Technologies уже вторые сутки вместе с сотрудниками RUTUBE занимаются решением проблемы. Предстоит большая работа, но уже есть первые результаты.”

Предварительное уведомление

Команда RUTUBE восстановила функционал платформы после мощной кибератаки.

Александр Моисеев, генеральный директор RUTUBE:
«Мы успешно завершили первый этап восстановления функционала платформы и намерены запустить видеохостинг сегодня. В данный момент на платформе проводится нагрузочное тестирование и дополнительная проверка на уязвимость».

Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center):
«Совместно со специалистами RUTUBE мы проводим контрольные работы, после чего видеохостинг будет выведен во внешний контур. Также работы ведутся в контексте восстановления хронологии действий злоумышленника, выявления полного перечня элементов инфраструктуры, затронутых инцидентом, собираются данные об особенностях использованного технического инструментария и проч. Это необходимо для того, чтобы «вычистить» злоумышленников из инфраструктуры и перекрыть им возможные пути возвращения».

 

Сообщение о поэтапности починки (орфография будущей базовой для нашего образования площадки сохранена)

“В целях обеспечения безопасности RUTUBE восстанавливает работу поэтапно.
⠀
Для просмотра пользователям уже доступно 99,5% библиотеки видео.
⠀
Фунционал для авторов цифрового контента будет появляться на видеохостинге последовательно.

1 этап: восстанавление студии автора контента и загрузки видео, мониторинг трансляций для пользователей.
Далее усиляем инфраструктуру для более быстрой загрузки.

2 этап: восстановление поиска и комментариев.”

К этому сообщению сервис приложил фото, которые вы видите на заставке.

 

Обвинили

Хостинг в ситуации со своим падением винит врагов и обратился “в органы”

“Rutube обратился в правоохранительные органы для расследования инцидента: 9 мая видеохостинг подвергся мощной кибератаке, после чего доступ к платформе был утерян. Сейчас доступ к Rutube частично восстановлен. Пользователям доступно эфирное вещание федеральных телеканалов”

 

ТГ канал “ЗаТелеком” также опубликовал документ, свидетельствующий о возможной утечке документов в сервисе в момент “хакерской атаки”, а также прокомментировал эту утечку следующим образом:

“Rutube не просто ломанули, но еще и, похоже, выкачали внутренние файлы. Образец документа из утечки: директор Rutube стучит в ФСБ, что сидящий за госизмену Сачков якобы нахимичил при поставках системы защиты от киберугроз. Итог: Сачков так и сидит, Rutube взломали. Вывод: не стучи в ФСБ, а занимайся защитой от угроз.”

Также канал иронизирует над предположениями депутата Горелкина, известного, как “эксперта” в вопросах, связанных с интернетом. Нам, кстати, предположение кажется здравым и может увеличивать шансы проблем.

Кроме того ТГ канал “За Телеком” даёт и развёрнутый текст о “главном виновном” (орфография автора)

“Про Рутюб. А давайте проанализируем, что там вообще случилось.

Версии случившегося — у меня есть три:

1. Реальная хакерская атака доселе неизвестными методом
Вообще, в мире существуют сотни, тысячи и миллионы интернет-проектов на которые хацкеры могли бы обратить внимание и уронить. И да — такое случается. Но очень редко. Почему? Ну, потому что есть службы безопасности и они таки работают. Если на Рутюб напали и довели ресурс до неработоспособности, то это означает, что служба безопасности в Рутубе — говно. И даже больше — абсолютное, полное, никчемное говно.

А кто назначил рукойводителя этой службы? Правильно! Лично Ксанксаныч Жаров.

2. Вторая версия — внутренний саботаж. Ну, то есть, кто-то изнутри Рутуба взял, да и сломал собственный сервис. Довольно талантливо и качественно сломал, надо отметить — третьи сутки не работает.

Почему так произошло? Ну, кто-то был недоволен тем, что происходит политически Или личная-экзистенциальная причина. Возможно, подкупили. Но мы об этом не узнаем. Если это сделал одиночка, то чувак героический.

Но это не оправдывает того факта, что служба безопасности Рутуба и лично Жаров — профессионально непригодны. Вот как так получилось, что у одного человека вообще все доступы в руках — и от прода, и от репозиториев, и от бэкапов? Так в нормальной конторе не бывает.

3. Некомпетность вообще. Этот вариант наиболее вероятен и скорее всего сочетает оба два выше: некомпетеное руководство назначает идиотов в СБ, которые просирают вообще все, включая и работу с персоналом, и с внешним контуром. И я почти уверен, что таки и было, потому что зная методы работы в госструктрурах, я могу быть абсолютно уверен, что огромное число сотрудников недовольны положением.

В любой российской госконторе процветает кумовство и непотизм. На повышение идут лояльные, а не компетентные изгоняются системой. Чтоб получить премию в таких конторах нужно быть не профессионалом, а уметь лизнуть начальству.

Стоит ли удивляться, что в Рутубе зевнули крота, запутали контроль доступов, проморгали дыру во внешнем контуре — вообще что угодно просрали. Я не удивлюсь, что именно так и было.

Но уверен, что постмортема мы не увидим. Не та это контора, чтоб открыто заявлять, что там начальник — идиот.

4. Есть еще одна конспирологическая версия — это диверсия, чтоб скрыть хищения. Я не очень в нее верю, потому что это слишком сложный схематоз для Жарова. Он же реально в своей жизни ни одного проекта до конца не довел. Единственное, что он действительно хорошо умеет — описывать собственные победы. И то, что сейчас появляются оправдалки, что «взлом здалал анонимус» — это доказывает. Тут нужно понять, что никакого анонимуса не существует: любой может назвать себя анонимусом, но как только назвал, то перестает быть таковым (силлогизм второго порядка, между прочим). И это очень удобно — свалисть все на бессловестного анончика, да.

Но чтоб продумать хитрый план по взлому Рутуба, чтоб оправдать сотни нефти, которые там были украдены (кто-то сомневается, что украли?) — это вряд ли.

Ну, потому что в любом случае, при любой версии: В ТОМ, ЧТО СЛОМАЛСЯ РУТУБ ВИНОВАТ ЛИЧНО А.А.ЖАРОВ. И больше никто.”

 

Опровергнули

Официальное опровержение
Group-IB относительно
использования технологий
компании для защиты
инфраструктуры Руформа
(владелец видеохостинга
Rutube)

 

Москва, 11.05.2022 — Компания Group-IB, один из лидеров в сфере кибербезопасности, официально публикует опровержение относительно недостоверной информации: связанной с применением ее технологий для защиты инфраструктуры Руформа (владелец видеохостинга Rutube).

9 мая в 16:10 в одном из аккаунтов в социальной сети Twitter был опубликован пост пользователя под ником sudormRF-6, создавший почву для домыслов и появления множества источников недостоверной информации относительно участия Group-IB в проекте по защите российского видеохостера Rutube, подвергшегося кибератаке 9 мая 2022 года, согласно официальному сообщению пострадавшей компании. Пост sudormRF-6 содержал скриншот письма, активно распространяемого сейчас в интернете. В связи с этим заявляем, что Group-IB полностью опровергает информацию о том, что продукты компании используются или когда-либо использовались для защиты от кибератак офисной или серверной инфраструктур или отдельных приложений видеохостера Rutube. Group-IB подчеркивает, что во время атаки 9 мая 2022 года, равно как и до нее, продукты Group-IB не использовались для защиты Rutube.

«Нам неизвестно о происхождении опубликованного в посте письма, его подлинности и реальном авторстве. Однако мы можем утверждать, что оно содержит ряд технических, логических, юридических, математических и даже грамматических ошибок, — комментирует Дмитрий Волков, CEO Group-IB. — Часть указанных сумм контрактов не соответствует действительности, подписанты со стороны Group-IB также указаны неверно. Документ содержит ряд домыслов относительно процедур выбора комплекса ПО, а также согласования сделок».

Отметим, что продукты Group-IB могли быть использованы для защиты ООО “Руформ” в рамках комплексного проекта, соглашения по которому были подписаны в марте 2021 года, однако работы по проекту, которые должны были начаться в апреле 2021 года, были остановлены по инициативе ООО “Руформ”. Большая часть контрактов между компаниями была аннулирована. Никаких претензий у сторон друг к другу нет. Group-IB неизвестно средства защиты какого вендора в итоге были выбраны заказчиком и используются сейчас в его инфраструктуре.

Также мы считаем необходимым указать, что никаких нарушений по контрактным обязательствам со стороны Group-IB допущено не было, равно как и никаких претензий к нам со стороны правоохранительных органов ни на одно юрлицо Group-IB по взаимодействию с ООО “Руформ” не поступало.

Стоит выделить и тот факт, что Group-IB проводила ряд тестирований на проникновение для ООО “Руформ” до 2021 года. По результатам тестирования клиент получил отчет (был сдан в феврале 2021 года) с рекомендациями по усилению мер защиты. Выполнение рекомендаций всегда остается на стороне клиента. Нам доподлинно неизвестно, были ли они выполнены. Повторных аудитов мы не проводили.

Относительно кибератаки 9 мая на Rutube, достоверно можем сообщить следующее:
• средств защиты от кибератак производства Group-IB на платформе Rutube не использовалось
• к реагированию на инцидент, имевший место 9 мая, Group-IB не привлекалась.
Соответственно нам нечего сказать об атаке и атакующих, кроме того, что доступ в инфраструктуру был получен.

 

 

Посчитали

Убытки из-за расходов на восстановление и потери дохода от рекламы могут составить до 1 млрд рублей, предположил директор департамента по продажам инвесткомпании «Вектор Икс» Сергей Звенигородский.

 

Проанализировали

“Главный аналитик” Алексей Петровский в своём ТГ канале #чокак приводит оценку траффика сервиса

Графики неплохо показывают 2 вещи:

1. Rutube – один из главных “выигравших” в траффике видеосервисов после 24 февраля. Пик роста приходится на этот период
2. По абсолютным значениям Rutube пока что уступает нескольким видеосервисам с подписной моделью монетизации.

 

Также добавим картину динамики роста траффика