Как атака на Rutube стала эпизодом самой большой кибервойны в истории
Всего за трое суток разрешилась проблема, которую, как обещали хакеры, не удастся устранить никогда. Видеохостинг Rutube подвергся хакерской атаке и перестал работать аккурат в День Победы, но акция, в организации которой изначально подозревали даже «своих», оказалась не столь масштабной, как предполагалось изначально. И хотя ответственность за произошедшее взяли на себя хакеры из Anonymous, ранее объявившие России кибервойну, атака показала: масштабы сражений оказались куда серьезнее, чем борьба с одним объединением киберпреступников. «Лента.ру» разобралась, почему хакеры атаковали именно Rutube и насколько широким может оказаться фронт столкновений в цифровом пространстве.
Зачем хакеры атаковали Rutube?
Ключевой посыл нападения на главный российский видеохостинг продолжает генеральную линию всех кибератак последних двух с половиной месяцев: почти сразу после начала спецоперации на Украине хакеры из Anonymous объявили России кибервойну. То, что Москва проводит политику импортозамещения, в том числе на уровне интернет-сервисов, стало дополнительным поводом для атаки.
Месяц назад, в начале апреля, пресс-секретарь президента Дмитрий Песков в очередной раз дал понять, что Россия связывает с отечественной платформой серьезные надежды: «У Rutube есть будущее. Туда будут вложены деньги, он будет еще более удобным. Я знаю, что в апреле они делают обновление, будет следующий шаг к совершенствованию. Туда пойдут деньги, эти деньги пойдут на развитие», — комментировали в Кремле.
Число пользователей российского аналога главного видеохостинга планеты неизменно растет с начала спецоперации на Украине, но суммарные показатели по количеству посетителей ресурса (43 миллиона в течение всего марта) пока далеки от тех, которые демонстрирует YouTube. Если западный видеохостинг заблокируют в России, это неминуемо создаст проблемы для создателей контента. Переориентация рынка будет сложной, но необходимой.
«Очевидно, что полностью надежно полагаться мы можем только на наши отечественные онлайн-платформы и информационно-коммуникационные технологические решения», — утверждал глава российского МИД Сергей Лавров, добавляя, что ставка будет сделана именно на Rutube, а также на «Одноклассники».
Внимание ключевых политиков к теме видеохостингов дает понять, что власти серьезно настроены развивать российские площадки. В итоге Rutube стал красной тряпкой для разъяренных хакеров, желавших выступить против России и нанести удар по сервисам, которые принципиальны для Кремля. Неудивительно, что главную роль вновь сыграло объединение Anonymous.
Доступ к Rutube восстановили, хотя Anonymous пообещали, что он «лег» навсегда
«Anonymous, а почему Rutube работает? Вы же сказали, что он удален. Опять *** [обмануть] не получилось», — потроллили хакеров их главные российские оппоненты из объединения Killnet в своем Telegram-канале.
Таким образом они ответили на заявление, которое хакеры из Anonymous опубликовали вечером 10 мая. «Почти 75 процентов баз данных и инфраструктуры основной версии, а также 90 процентов резервных копий и кластеров для восстановления баз сильно пострадали. Это значит, что Rutube, вероятно, исчез навсегда», — хвастались хакеры.
Они начали нападения на российские площадки еще в феврале. После начала боевых действий на Украине хактивисты Anonymous объявили России кибервойну, целью которой назвали воцарение справедливости. За это время они атаковали многие медиа и сайты государственных органов, а также иностранные компании, которые не спешили сворачивать бизнес в стране.
Однако Rutube начал подавать признаки жизни, когда не прошло и суток с пафосного заявления Anonymous в Twitter. Сама атака произошла 9 мая. Киберпреступники выбрали не простой и быстрый в реализации способ выключения Rutube — DDoS-атаку (она не требует подготовки, но и не приводит к серьезным последствиям), — а целевую APT-атаку.
После АРТ-атак инфраструктура жертвы нередко превращается в «выжженную землю», на что, судя по всему, рассчитывали и в Anonymous.
«В случае с Rutube атака была целевой, то есть это направленная целевая атака на инфраструктуру, которая осуществляется не за минуты, не за часы и не за дни. Это подготовленная профессиональная атака, которая достаточно дорога в реализации. Над ними работают команды профессионалов», — констатировал генеральный директор Rutube Александр Моисеев.
«Мы видимые, мы заметные, мы в целом вызываем дискомфорт как не просто альтернативная площадка, а площадка, которая открыта и доступна, — приходите, размещайте, смотрите», — добавил Моисеев, косвенно сравнив площадку с YouTube, который в России все чаще обвиняют в цензуре.
Полного восстановления всех сервисов пока не случилось, но так быстро в компании его и не обещали. Напротив, там говорили о том, что возвращать сайт к работе будут поэтапно. Сначала специалисты Rutube и помогавшие им эксперты Positive Technologies сделали сам ресурс доступным. К вечеру 11 мая был полностью восстановлен код платформы, пользователям стали доступны 99,5 процента библиотеки видео, а также прямые трансляции телеканалов. Площадка также занялась оживлением личных кабинетов авторов контента. В полном объеме Rutube должен заработать в понедельник, 16 мая.
«Работы ведутся в том числе в контексте восстановления хронологии действий злоумышленника, выявления полного перечня элементов инфраструктуры, затронутых инцидентом, собираются данные об особенностях использованного технического инструментария и так далее. Это необходимо для того, чтобы “вычистить” злоумышленников из инфраструктуры и перекрыть для них возможные пути возвращения», — рассказал директор экспертного центра безопасности Positive Technologies Алексей Новиков.
Rutube оценил масштаб атаки
Уже после запуска основного функционала площадки сотрудники компании опровергли ряд предположений об обстоятельствах атаки, которые активно обсуждали в сети все трое суток простоя хостинга.
Первым делом к числу фейков отнесли данные о том, что в результате атаки исходный код Rutube был не просто уничтожен, а уничтожен так, что больше не подлежит восстановлению. В компании заявили, что восстановить его уже удалось.
Также в Rutube опровергли сведения о том, что руководство платформы знало о серьезных уязвимостях в инфраструктуре еще в 2021 году, но ничего не сделало, чтобы их устранить.
О брешах в интервью Forbes рассказал неназванный бывший сотрудник, поведавший, что аудит проводился крупными ИБ-компаниями России (названы Group-IB, Positive Technologies, Digital Security и «Ростелеком»). Они во время тестовых атак не смогли взломать сам ресурс, но нашли некие уязвимости в офисной инфраструктуре, после чего представители Group-IB якобы предупредили, что именно с их помощью могут совершить кибернападение в будущем, что требовало защищать офисную инфраструктуру и сайт по отдельности. Такое разделение, по данным Forbes, не было выполнено из-за смены руководства Rutube в августе 2021 года.
«На Rutube было совершено множество атак, которые были успешно локализованы. Однако инцидент 9 мая был другого уровня сложности. Установить готовность инфраструктуры к такой целевой атаке можно, только столкнувшись с ней», — парировали представители сервиса на публикацию в Forbes.
Еще одним фейком видеохостинг назвал заявления о том, что атака на самом деле была диверсией, за организацией которой стоит не то сама платформа, не то ее сотрудники. Эту версию специалисты, занимающиеся восстановлением площадки, отмели сразу, так как, по их мнению, источник кибератаки находился во внешней среде. Но ближе к концу недели в компании все же допустили, что бывшие сотрудники могли иметь отношение к нападению.
«Это одна из версий, часть, наверное, цепочки. Кто-то что-то где-то сказал, какой-то программист, может быть, когда-то давно в баре за кружкой пива что-то ляпнул. Из таких кусочков собирается [информация]», — отметил Моисеев.
Россия только вступает в большую кибервойну
То, что борьба с Anonymous — это лишь один из фронтов большой кибервойны, для аналитиков давно не секрет. Не исключено, что атака на Rutube ознаменовала собой начало нового витка столкновений. В этой борьбе, начавшейся с февральского заявления Anonymous, как полагают многие эксперты, Россия находится не в лучшей стартовой позиции. Например, авторы Telegram-канала SecAtor, одного из наиболее авторитетных в сегменте информационной безопасности, заметили, что западные профильные издания практически никак не осветили инцидент с Rutube. В немногочисленных вышедших материалах при этом ответственность за нападение была возложена на украинские кибердружины, возмущенные ситуацией в их стране.
Судя по всему, российские информационные ресурсы объявлены законной целью для всех желающих. Никакого преследования лиц, осуществляющих любые атаки на российскую информационную инфраструктуру, на Западе проводиться не будет. А в отдельных случаях будет оказываться профессиональная поддержка. — Telegram-канал SecAtor.
Подобные атаки организуют не только хактивисты и украинцы. Официальный представитель МИД России Мария Захарова утверждает, что не только Киев, но и коллективный Запад, и даже структуры НАТО и Европейского союза готовятся к «деятельности против России в киберпространстве». На Украине же даже утверждали, что создали первую в мире киберармию. По словам министра цифровой трансформации Михаила Федорова, в нее вошли уже около 300 тысяч киберсолдат.
«Впервые государство-член ООН открыто объявило о киберагрессии и ведении кибервойны, — сказала Захарова. — Речь идет о совершении более шести сотен, порядка семи сотен хакерских атак против российских и белорусских компаний, банков и учреждений, и всем этим занималось официально государство Украина».
«Мы считаем, что России объявлена кибервойна, в которой количество участников кибератак превышает 100 тысяч человек, — согласился с позицией МИД заместитель председателя правления Сбербанка Станислав Кузнецов. — Банк ежедневно фиксирует до нескольких десятков одновременных DDoS-атак».
Ситуация значительно ухудшится, если целью хакеров станут не просто сайты в интернете, а реальные инфраструктурные объекты. Атаки на них могут привести к катастрофам, масштабы которых даже невозможно оценить. Самые очевидные цели — АЭС и крупные промышленные гиганты.
Жители планеты уже стали свидетелями небывалой по своим масштабам кибервойны. Ее ведение усложняет то, что у Кремля здесь нет четкого противника: есть лишь отдельные устройства, с которых идут атаки, отследить их практически невозможно. Вопрос теперь только в том, как далеко зайдут хактивисты и хакеры на госслужбе, считающие своей миссией сражение против России в виртуальном пространстве, а также в том, как их борьба отразится на жизнях обычных людей.
Вениамин Лыков
По материалам: “Лента.Ру”