Rutube żyje czy nie żyje? Co się stało z rosyjskim hostingiem wideo, który „usunął kod”

Hakowanie i usuwanie kodu lub kampania PR - rosyjski hosting wideo Rutube przestał działać przez kilka dni i

przyczyny są nadal nieznane. 

Co się stało?

9 maja w wiadomościach pojawiła się informacja omasowe ataki hakerów na kanały telewizyjne i Rutube. Witryny hostującej wideo nie można było otworzyć dłużej niż jeden dzień, a problem okazał się poważny, ponieważ nie można było po prostu przywrócić wszystkiego z kopii zapasowych. 

Tego samego dnia włamano się na dostawcę informacji o harmonogramie kanałów telewizyjnych. 11 marca Rutube ponownie stał się dostępny dla użytkowników, poinformował zespół serwisowy.

Jak zorganizowano atak lub ataki?

Alexander Gerasimov, dyrektor informacjibezpieczeństwa i współzałożyciel Awillix, uważa, że ​​był to atak na łańcuch dostaw (Supply chain attack). Dzieje się tak, gdy hakerzy atakują nie cel końcowy, ale słabsze ogniwo w łańcuchu dostaw.

W tym przypadku, jeśli uda Ci się pójść na kompromisdostawcą, będziesz mógł zrobić to samo z jego klientami. W tym przypadku hakując jednego z dostawców programów telewizyjnych, napastnicy uzyskali poważny wpływ na cały łańcuch. 

Ale według Gierasimowa nie ma stuprocentowej pewnościdokładnie to się stało. Pojawia się informacja, że ​​dostawcy nie zostali zhakowani, a podmiana była po stronie wbudowanego odtwarzacza IPTV. Odtwarzacz IPTV to program, który umożliwia oglądanie strumieniowych filmów wideo na komputerze.

Dlatego konieczne jest przeprowadzenie dochodzenia, w którym:rozważ scenariusze, w których był nie tylko zewnętrzny, ale także wewnętrzny gwałciciel. Atak mógł zostać przeprowadzony z poziomu organizacji dostawcy, zauważa Rutube.

W wyniku ataku na Rutube są dwie najpopularniejsze wersje tego, co się wydarzyło, omawiane w profesjonalnych społecznościach cyberbezpieczeństwa:

  1. Słaba segmentacja sieci. Dzięki zhakowaniu w jednym miejscu udało się dostać do jego krytycznych elementów i je wyłączyć.
  2. Obecność napastnika wewnętrznego (nielojalnego pracownika), który sam zdołał włamać się do infrastruktury lub z jego pomocą napastnicy zdołali uzyskać niezbędny dostęp.

Wśród sposobów, w jakie atakującym udało się dostać do sieci wewnętrznej, Gerasimenko zidentyfikował kilka głównych:

  • Kod źródłowy niskiej jakości pod względem bezpieczeństwa.
  • Podatności w zewnętrznej infrastrukturze IT i środowisku webowym samej usługi.
  • Luki w logice usługi.
  • Luki w komponentach i bibliotekach innych firm.
  • Korzystanie z przestarzałego oprogramowania.

Co zostało uszkodzone podczas ataku?

Atak dotknął kluczowe elementy infrastruktury usługowej. Według Gerasimenko być może elementy te zostały zaszyfrowane, dlatego nie było możliwe natychmiastowe przywrócenie usługi hostingu wideo. 

„Przykładów zastosowań jest wieleransomware, gdy ofiara jest następnie proszona o okup. Ten rodzaj ataku jest w stanie zablokować pracę największych organizacji i ich infrastruktur. Miliony firm zostały już poddane takim atakom, na przykład nastąpiło zamknięcie największego rurociągu naftowego w Stanach Zjednoczonych - American Pipeline lub zablokowanie pracy największego międzynarodowego producenta mięsa JBS ”- powiedział Gerasimenko.

Wcześniej uważano, że głównym zagrożeniem dla krajowych zasobów są ataki DDoS. Jednak ostatnio ataki stały się bardziej złożone. 

„W przypadku Rutube niepokojące jest również to, żeże po uzyskaniu dostępu na tym poziomie napastnicy mogliby kontrolować wszystkie dane, w tym dane osobowe użytkowników usługi” – uważa ekspert.

Czy zdarzały się już podobne ataki?

Wszelkie ataki na dostawców mają charakter globalny i jest to najniebezpieczniejszy rodzaj ataku. 

„Najbardziej głośne premiery ostatnich czasówbyły ataki na największych dostawców oprogramowania, takich jak Kaseya i Solarwinds, w wyniku których ucierpiały miliony firm i agencji rządowych na całym świecie ”- powiedział Gerasimenko.

Jak nie wpaść ponownie w ten sam atak?

Niski poziom bezpieczeństwa można skorygować za pomocąprzy użyciu standardowych metod. W szczególności wymagane są terminowe testy penetracyjne oraz analiza bezpieczeństwa kodu źródłowego systemu i aplikacji. Podczas takich kontroli imitowane są różne działania intruzów, dzięki czemu firmy i serwisy internetowe dowiadują się o wszelkiego rodzaju problemach w systemie bezpieczeństwa i mogą je szybko wyeliminować.

Czytaj więcej:

Amerykański satelita „widział” niezwykłą wiadomość z Ziemi

Opublikowane wideo z rakiety, która została wystrzelona z eksperymentalnego akceleratora

Gigantyczny lejek znaleziony w Chinach. Mogą się tam ukrywać gatunki nieznane nauce.