Падение Rutube. Что происходит и кого назначат виноватым?

Утром 9 мая текущего года хакеры атаковали российский видеохостинг Rutube, который позиционирует себя как замену YouTube и куда после начала так называемой «спецоперации» переехали многие российские прогосударственные телеканалы. Информация об этом появилась в Telegram-канале сервиса в семь утра. Также сообщалось, что оперативная группа реагирования работает над восстановлением доступа. В течение всего дня в канале компании появлялись сообщения о том, что на сайте ведутся восстановительные работы.

Представители «русского аналога YouTube» назвали эту кибератаку крупнейшей в истории сервиса и, по их мнению, она была дорогостоящей, заранее спланированной и могла быть осуществлена, чтобы «помешать Rutube показать парад Победы и праздничный салют».

10 мая сервис заверил:

«Специалисты продолжают решать проблему, также к урегулированию ситуации были привлечены партнеры, в данный момент работа по восстановлению идет полным ходом».

По словам источника The Village, близкого к команде Rutube, атака началась около пяти утра. В результате действий хакеров был «полностью удален код сайта», и теперь видеосервис «не подлежит восстановлению». Обычно на такой случай предусмотрены бэкапы, но в конкретной ситуации проблема, видимо, в том, что в сервисе до сих пор не понимают, имеет ли по-прежнему хакер доступ к системе или уже нет. Видео-контент в результате атаки не пострадал. По мнению источника, такая кибератака стала возможна из-за утечки кодов доступа к сайту.

«Мрачные прогнозы не имеют ничего общего с настоящим положением дел: исходный код доступен», — заверили позднее в Rutube.

По состоянию на 11 мая никаких существенных изменений в работе сервиса не произошло.

Хакерская группировка Anonymous в Twitter взяла на себя ответственность за падение сайта Rutube, добавив, что повреждено почти 75% баз данных и инфраструктуры основной версии, а также 90% резервной копии и кластера для восстановления баз данных, «что означает — Rutube, вероятно, ушёл навсегда».

JUST IN: #Anonymous hacked Russia’s video platform ‘RuTube’

Nearly 75% of the databases and infrastructure of the main version and 90% of the backup and cluster to restore the databases have been severely affected, that means #RuTube is probably GONE FOREVER. #OpRussia pic.twitter.com/0NFzWGmP9u

— Anonymous TV 🇺🇦 (@YourAnonTV) May 10, 2022

Позже появились скриншоты из внутренней системы сервиса со списком каналов пользователей. Скриншоты административной панели сервиса разместили в аккаунте, авторы которого описывают свою деятельность так: „IT working for peace in Ukraine“ («IT, работающий ради мира в Украине»). Они также опубликовали письмо, которое якобы отправил директор Rutube Алексей Назаров в ФСБ с жалобой на возможные махинации при закупке системы информационной защиты у дочерней структуры российской Group-IB. «Все эти деньги были потрачены впустую», – комментируют этот документ авторы твиттер-аккаунта.

С «Роскомсвободой» связалась пресс-служба Group-IB. Компания полностью опровергает информацию о том, что её продукты используются или когда-либо использовались для защиты от кибератак офисной или серверной инфраструктур или отдельных приложений видео-хостера Rutube:

«Во время атаки 9 мая 2022 года, равно как и до нее, продукты Group-IB не использовались для защиты инфраструктуры Rutube».

Group-IB проводила ряд тестирований на проникновение для ООО «Руформ» (компания-оператор Rutube) до 2021 года. «По результатам тестирования клиент получил отчёт (был сдан в феврале 2021 года) с рекомендациями по усилению мер защиты. Выполнение рекомендаций всегда остается на стороне клиента. Нам доподлинно неизвестно, были ли они выполнены», – сказали нам в компании, а также уточнили:

«Продукты Group-IB могли быть использованы для защиты ООО „Руформ“ в рамках комплексного проекта, соглашения по которому были подписаны в марте 2021 года. Однако работы по проекту, которые должны были начаться в апреле 2021 года, были остановлены по инициативе ООО „Руформ“».

Большая часть контрактов между компаниями была аннулирована, никаких претензий у сторон друг к другу нет, сообщает Group-IB. «Никаких претензий к нам со стороны правоохранительных органов ни на одно юрлицо Group-IB по взаимодействию с ООО „Руформ“ не поступало», – добавляют в пресс-службе. К реагированию на инцидент, имевший место 9 мая, Group-IB не привлекалась, а сейчас с Rutube работает другой вендор.

Прогнозы по восстановлению работы хостинга самой компанией и различными экспертами озвучивались разные.

Расследование взлома видеохостинга Rutube может занять от полутора до трех недель с учетом серьезного масштаба поражения сервиса, сообщил директор экспертного центра безопасности Positive Technologies Алексей Новиков.

Гендиректор Rutube Александр Моисеев заявил «Ведомостям», что «удалось частично оправиться после серьезнейшей атаки». «Поврежденная часть инфраструктуры полностью восстановлена. Сейчас Rutube последовательно возобновляет работу сервиса», — заверил он. По словам Моисеева, в ближайшее время восстановят функцию просмотра видео, возобновят эфирное вещание и работу стриминговых сервисов.

Руководство Rutube знало об уязвимостях сервиса, пишут «Ведомости» со ссылкой на внутреннюю записку от 25 октября 2021 года. На её основании прошла проверка поставки серверов и программ «дочкой» Group-IB. Компания должна была протестировать инфраструктуру, но согласно письму, поставила «неработоспособные» решения. Ущерб составил более 407 млн рублей.

Даже если у сервиса есть резервные копии, восстановление займёт от недели и будет стоить несколько десятков миллионов рублей, считает гендиректор компании «Киберполигон» Лука Сафонов.

Убытки из-за расходов на восстановление и потери дохода от рекламы могут составить 500 млн-1 млрд рублей, оценил директор департамента по продажам инвесткомпании «Вектор Икс» Сергей Звенигородский.

RuTube после совершенной в понедельник мощной хакерской атаки вернётся в строй уже сегодня: восстановительные работы на завершающей стадии, сообщил зампред думского комитета по информационной политике Антон Горелкин.

Но этого оптимизма не разделяет исполнительный директор «Общества защиты интернета» (ОЗИ) Михаил Климарёв, который в комментарии «Роскомсвободе» предположил, что сервис «уже не поднимется».

«История с падением Rutube — типичный пример того, как работает современная российская бюрократия и к какой катастрофе это может в конечном счете привести. В Системе — никогда нет виноватых», – пишет журналист радио «Комсомольская правда» Сергей Мардан.

«Удивительно, конечно, как много может рассказать о менталитете не то, что люди говорят, а то, чего они НЕ говорят. Вот у Рутьюба вторые сутки не работает сервис. На сайте висит заглушка, там про технические работы, про атаку, про сохраненные данные. Но ни слова извинений перед миллионами пользователей, которыми они так гордятся», – замечает Telegram-канал «Нецифровая экономика».

«Знаете, что самое обидное в истории RuTube? За плечами компании огромные деньги “Газпром-медиа”, которые тратились как угодно, но только не на дело, мы видим это по факту происходящего. Фактически у сервиса был выигрышный лотерейный билет, можно было нарастить аудиторию на раз-два, без особых затрат ресурсов. Но вместо этого — постоянная, каждодневная борьба с ветряными мельницами, поиск врагов и так далее», – в свою очередь, пишет ведущий на своём сайте аналитик Mobile Research Group Эльдар Муртазин.

Тема вложенных в Rutube средств, к слову, понималась опрошенными нами экспертами не раз.

В своём канале «ЗаТелеком» Михаил Климарёв выдвигает три версии случившегося:

1. Реальная хакерская атака доселе неизвестными методом.

«Вообще, в мире существуют сотни, тысячи и миллионы интернет-проектов на которые хацкеры могли бы обратить внимание и уронить. И да — такое случается. Но очень редко. Почему? Ну, потому что есть службы безопасности и они таки работают. Если на Рутюб напали и довели ресурс до неработоспособности, то это означает, что служба безопасности в Рутубе — <олицетворение некомпетентности>. И даже больше — абсолютное, полное, никчёмное <олицетворение некомпетентности>», – рассуждает эксперт.

2. Вторая версия — внутренний саботаж.

«Ну, то есть, кто-то изнутри Рутуба взял, да и сломал собственный сервис. Довольно талантливо и качественно сломал, надо отметить — третьи сутки не работает», – продолжает Климарёв.

Здесь могут быть и человеческий фактор, и недовольство происходящим в стране, и даже подкуп, считает он, что не оправдывает факта профессиональной непригодности руководства сервиса, в числе которого — бывший глава Роскомнадзора Александр Жаров.

3. Некомпетентность вообще.

«Этот вариант наиболее вероятен и скорее всего сочетает оба два выше: некомпетеное руководство назначает идиотов в СБ, которые <проваливают> вообще всё, включая и работу с персоналом, и с внешним контуром, – считает Климарёв. – И я почти уверен, что так и было, потому что зная методы работы в госструктрурах, я могу быть абсолютно уверен, что огромное число сотрудников недовольны положением. В любой российской госконторе процветает кумовство и непотизм. На повышение идут лояльные, а компетентные изгоняются системой. Чтоб получить премию, в таких конторах нужно быть не профессионалом, а уметь лизнуть начальству. Стоит ли удивляться, что в Рутубе зевнули крота, запутали контроль доступов, проморгали дыру во внешнем контуре — вообще что угодно <упустили>. Я не удивлюсь, что именно так и было. Но уверен, что постмортема мы не увидим. Не та это контора, чтоб открыто заявлять, что там начальник — идиот».

Четвёртая версия, как наиболее невероятная и конспирологическая, — это диверсия, чтоб скрыть хищения. «Но чтоб продумать хитрый план по взлому Рутуба, чтоб оправдать сотни нефти, которые там были украдены (кто-то сомневается, что украли?) — это вряд ли», – считает Климарёв.

В целом же слишком мало информации, чтобы видеть реальные масштабы проблемы. «Пока можно судить только по спекуляциям вокруг этого. Настоящей картины никто не даёт», – говорит технический специалист «Роскомсвободы» Вадим Мисбах-Соловьёв. Однако в целом ситуация видится не в самом позитивном ключе, считает он:

«Во-первых, сервису, в который вложено столько денег, и который претендовал на то, чтобы быть заменой Ютубу, очень странно вообще в принципе иметь такое строение инфраструктуры, чтобы мочь вот так вот взять — и завалиться. Это просто катастрофические масштабы отсутствия умения проектировать подобные проекты. И, как по мне, несоответствие затраченных не него денег имеющейся инфраструктуре.

А во-вторых, для меня кажется ну о-о-очень странным возможность того, чтобы с таким уровнем финансирования можно было что-либо сломать так, чтобы оно не смогло подняться.

Они там вроде что-то говорили про „повреждение кластеров бекапов“, но звучит немного бредово. Плюс непонятно — куда делись оффлайн-бекапы?»

Нижегородский блогер и IT-эксперт Илья Вайцман тоже вспомнил про прошлогодний аудит Group-IB, но «были ли устранены какие-либо замечания и не наделали ли с тех пор новых дыр», он ответить затрудняется.

В беседе с ним мы вспомнили о такой вещи как технические средства противодействия угрозам (ТСПУ), которые власти обязали установить на всех операторах связи под видом борьбы как раз таки с атаками извне, но по словам Ильи, «они могут помочь от других типов атак, от более примитивных». «Типа DDoS или других атак по давно и широко известным сценариям, – уточнил он. – Если же злоумышленники вошли через какую-то хитрую дырку или им кто-то слил логины/пароли — ТСПУ тут не спасут».

На вопрос, как в принципе стало возможным удалённо «положить» столь крупный сервис, Вайцман ответил: «Если злоумышленники вошли туда с администраторскими правами (повторюсь: я не знаю каким образом), то они могли, теоретически, снести всё и обрушить конфигурации. Но для этого нужно знать много разных паролей или взломать много разных систем. Потому что админ сетевой инфраструктуры, стораджей, самого сайта и прочее — это должны быть разные учётки на разных платформах».

Насчёт того, почему восстановление происходит так долго, эксперт говорит следующее:

«1. Теоретически, у сервисов такого масштаба должна иметься независимая система резервирования, в принципе недоступная для внешней атаки.

2.  Резервируется сам исполняемый код, контейнеры целиком, образы хост-систем, резервируются конфигурации аппаратуры, все настройки маршрутизаторов и вообще всё. Причем, это автоматически делается перед (и после) каждым изменением. Для этого всего существуют и аппаратные, и программные решения.

3. Опять же, теоретически, должны иметься сценарии реагирования на любой вид ущерба. Грубо говоря, бумажки, на которых написано, какие действия нужно предпринять в том или ином случае. Когда уже сломали, то думать поздно, это все заранее готовится. Есть даже довольно толковый ГОСТ (номер не помню) на эту тему. Там чудовищный канцелярит, конечно, но по сути правильно всё.

4.  Невозможность восстановления при сохранности аппаратуры означает, что такой системы резервирования нет. Потому что заготовленными „для ситуации номер ХХХ“ скриптами раскатать на аппаратуру последний снапшот можно за полдня максимум, а сами массивы данных не пострадали (как нам говорят).

5.  Что там есть и куда улетели деньги, которые точно были предусмотрены на это всё — пускай следователи разбираются».

«...как сумели такое спроектировать и на каком этапе исчезла система резервирования (забыли на этапе проекта или все было заложено, но потом просто „освоили средствА“) — вопрос отдельный. Такие проекты проходят многоуровневые экспертизы и согласования, как до, так и после реализации. Я уже молчу про безопасность кода и элементов на этапе разработки и внедрения», – добавил он.

Правдоподобность выложенных хакерами баз данных и переписки Илья Вайцман оценил так — «это похоже на правду».

Ознакомившись с комментарием представителя Positive Technologies, где тот рассказывает о поиске уязвимостей вот уже третий день, эксперт только развёл руками: «То есть защищенных логов не велось, системы автоматического обнаружения вторжений и реагирования тоже не было. Чем дальше — тем смешнее. А что было-то?»

Незадолго до кибератаки The Village пообщался с одним из бывших менеджеров Rutube, чтобы узнать, что происходило с видеохостингом в последние годы, как на планах команды отразилась продажа платформы «Газпром Медиа» и насколько реальным ему кажется план импортозаместить YouTube. По его словам, руководство сейчас не совсем понимает, куда нужно двигаться и как развиваться дальше, государственные интересы перевешивают те вызовы, которые бросают рынок и пользовательский интерес. К примеру, ему кажется странным решение сделать регистрацию через «Госуслуги», чтобы «убрать модерацию».

«Если стратегия Rutube — создать средство распространения политической информации, официальный государственный ресурс, — все, допустим, окей, – говорит источник The Village. – Но если это сервис, который должен работать на рынке, если мы говорим, что мы аналог YouTube, свободная зона, так это не будет работать. В этом, наверное, главное противоречие: все говорят о каком-то развитии, но элементарную базовую стратегию никто озвучить не может. Вместо этого решают вопрос с модерацией: вот пару гаечек подкрутим и будем понимать, к кому ехать домой, если какое-то видео нам не понравится».