Эксперты Positive Technologies, занимающиеся расследованием атаки на RuTube, произошедшей в мае 2022 года, сообщили, что инцидент был целевой атакой, «нацеленной на нанесение максимального и долговременного урона сервису». Также выяснилось, что сам взлом произошел еще в начале весны.
Напомню, что атака на RuTube произошла в майские праздники, и тогда сообщалось, что время было выбрано неслучайно: хакеры «изо всех сил пытались помешать провести трансляцию главного события сегодняшнего дня – Парада Победы и праздничный салют».
Еще в мае к расследованию произошедшего, а также для устранения последствий атаки к делу были привлечены несколько экспертных команд, в частности команда специалистов экспертного центра безопасности Positive Technologies (PT Expert Security Center).
Как теперь рассказывает генеральный директор Positive Technologies Денис Баранов, атака была тщательно спланирована, а сам взлом RuTube произошел еще в марте 2022 года, то есть два месяца хакеры остались в сети компании и готовились к активной фазе.
«Это была именно целевая хакерская атака, нацеленная на нанесение максимального и долговременного урона сервису. Однако они умудрились засветиться на антивирусах, использовали инструментарий, который характерен для базового пентестера. Хакеры изучили инфраструктуру, выделили виртуальные машины, задействованные в обеспечении работы сервиса, и пытались удалять именно их. И тут началась гонка: ИТ-специалисты Rutube заметили воздействие на ряд элементов инфраструктуры и сразу же стали их отключать и изолировать, стараясь опередить хакеров, удалявших виртуальные машины. Айтишники компании все-таки победили за счет скорости реакции», — рассказал Баранов на XXV Петербургском международном экономическом форуме (ПМЭФ), в рамках сессии «Информационная борьба: защита национального медийного суверенитета».
Там же Баранов сообщил, что процессы внедрения практической кибербезопасности, которые в других компаниях и странах растягиваются на годы, в России будут сильно форсированы и пройдут за месяцы, а страна в результате получит «выкованные в бою» решения для обнаружения хакерских атак:
«Такого давления на IT-инфраструктуру нет ни в одной стране мира. И это замечательно. У нас будет самый лучший, самый конкурентоспособный, закаленный самой агрессивной средой софт и самые лучшие специалисты, которые в состоянии таким атакам противостоять».
Представители RuTube, а также директор по исследованиям и разработке «Лаборатории Касперского» Антон Иванов подтвердили «Ведомостям» слова эксперта. Однако представители сервиса отметили, что не могут назвать точную дату взлома, хотя «следы вредоносной активности были обнаружены сильно “до” событий 9 мая».
Технический директор АО «Синклит» Лука Сафонов также сообщил журналистам, что те, кто получили доступ к Rutube и те, кто взламывал его позже — это разные люди. Он полагает, что первоначальный доступ, вероятно, был продан другим лицам, которые уже и произвели атаку, потому что по итогу «все выглядело достаточно топорно».
