Rutube est vivant ou mort ? Qu'est-il arrivé à l'hébergement vidéo russe, qui "a supprimé le code"

Piratage et suppression de code ou campagne de relations publiques - L'hébergement vidéo russe Rutube est tombé en panne pendant plusieurs jours, et

les raisons sont encore inconnues.

Que s'est-il passé?

Le 9 mai, des informations sont apparues dans les journaux surattaques massives de hackers sur les chaînes de télévision et Rutube. Le site d'hébergement vidéo n'a pas pu être ouvert pendant plus d'une journée, et le problème s'est avéré grave, car il était impossible de tout restaurer simplement à partir de copies de sauvegarde.

Le même jour, un fournisseur d'informations sur l'horaire des chaînes de télévision a été piraté. Le 11 mars, Rutube est redevenu disponible pour les utilisateurs, a annoncé l'équipe de service.

Comment l'attaque ou les attaques ont-elles été organisées ?

Alexander Gerasimov, directeur de l'informationsécurité et co-fondateur d'Awillix, estime qu'il s'agissait d'une attaque contre la chaîne d'approvisionnement (Supply chain attack). C'est à ce moment que les pirates n'attaquent pas la cible finale, mais le maillon le plus faible de sa chaîne d'approvisionnement.

Dans ce cas, si vous parvenez à faire des compromisfournisseur, vous pourrez faire de même avec ses clients. Dans ce cas, en piratant un fournisseur de programmes de chaînes de télévision, les attaquants ont acquis une influence considérable sur l'ensemble de la chaîne.

Mais, selon Gerasimov, il n'y a pas de certitude à 100%c'est exactement ce qui s'est passé. Des informations semblent indiquer que les fournisseurs n'ont pas été piratés et que la substitution était du côté du lecteur IPTV intégré. Un lecteur IPTV est un programme qui vous permet de regarder des vidéos en streaming sur votre ordinateur.

Par conséquent, il est nécessaire de mener une enquête dans laquelleenvisagez des scénarios dans lesquels il y avait non seulement un contrevenant externe, mais aussi un contrevenant interne. L'attaque aurait pu être menée depuis l'intérieur de l'organisation du fournisseur, note Rutube.

À la suite de l'attaque contre Rutube, il existe deux versions les plus courantes de ce qui s'est passé, qui sont discutées dans les communautés professionnelles de la cybersécurité :

  1. Mauvaise segmentation du réseau. Grâce à un piratage en un seul endroit, il a ainsi été possible d'accéder à ses éléments critiques et de les désactiver.
  2. La présence d'un attaquant interne (un employé déloyal) qui a lui-même réussi à compromettre l'infrastructure ou avec son aide les attaquants ont pu obtenir l'accès nécessaire.

Parmi les moyens par lesquels les attaquants ont réussi à pénétrer dans le réseau interne, Gerasimenko en a identifié plusieurs principaux :

  • Code source de mauvaise qualité en termes de sécurité.
  • Vulnérabilités de l'infrastructure informatique externe et de l'environnement Web du service lui-même.
  • Vulnérabilités dans la logique du service.
  • Vulnérabilités dans les composants et bibliothèques tiers.
  • Utilisation de logiciels obsolètes.

Qu'est-ce qui a été endommagé lors de l'attaque ?

Des éléments clés de l'infrastructure de service ont été affectés par l'attaque. Selon Gerasimenko, ces éléments étaient peut-être cryptés et il n'a donc pas été possible de restaurer immédiatement le service d'hébergement vidéo.

« Il existe de nombreux exemples d'applicationsransomware lorsque la victime se voit ensuite demander une rançon. Ce type d'attaque est capable de bloquer le travail des plus grandes organisations et leurs infrastructures. Des millions d'entreprises ont déjà été victimes de telles attaques, par exemple, il y a eu la fermeture du plus grand oléoduc des États-Unis - American Pipeline ou le blocage du travail du plus grand producteur international de viande JBS », a déclaré Gerasimenko.

Auparavant, on pensait que la principale menace pour les ressources nationales était les attaques DDoS. Mais depuis peu, les attaques sont devenues plus complexes.

« Dans le cas de Rutube, il est également alarmant quequ'ayant obtenu un accès de ce niveau, les attaquants pourraient contrôler toutes les données, y compris les informations personnelles sur les utilisateurs du service », estime l'expert.

Y a-t-il déjà eu des attaques similaires ?

Toute attaque contre les fournisseurs est de nature mondiale et il s'agit du type d'attaque le plus dangereux.

"Les premières les plus médiatisées de ces derniers tempsont été des attaques contre les plus grands fournisseurs de logiciels tels que Kaseya et Solarwinds, à la suite desquelles des millions d'entreprises et d'agences gouvernementales du monde entier ont souffert », a déclaré Gerasimenko.

Comment ne pas retomber sous la même attaque ?

Un faible niveau de sécurité peut être corrigé avecen utilisant des méthodes standards. En particulier, des tests d'intrusion et une analyse de sécurité en temps opportun du système et du code source de l'application sont nécessaires. Lors de ces vérifications, diverses actions d'intrus sont imitées, de sorte que les entreprises et les services Internet découvrent toutes sortes de problèmes dans le système de sécurité et peuvent les éliminer rapidement.

Lire la suite:

Un satellite américain a "vu" un message inhabituel de la Terre

Vidéo publiée de la fusée, qui a été lancée à partir d'un accélérateur expérimental

Entonnoir géant trouvé en Chine. Des espèces inconnues de la science pourraient s'y cacher.