АРТ-атака на видеохостинг RuTube
Видео-контент сегодня является одним из самых востребованных источников информации. И это понятно, потому что известная поговорка гласит: «Лучше сто раз увидеть, чем сто раз услышать». Видео используется не только в информационных целях (новостные ролики, видеозаписи очевидцев событий), но и в качестве метода брендирования.
Видеохостинг - интернет-сервис, который позволяет загружать и смотреть видео в браузере. Например, через специальный проигрыватель. Видеохостинги позволяют в полной мере использовать преимущества видео-контента перед текстовым содержанием. Современные пользователи предпочитают видео-контент текстовому. Демократичность видеохостингов, в частности, объясняется возможностью загрузки видео-контента самим пользователем.
БГТУ им. В.Г. Шухова используют отечественный видеохостинг RUTUBE для организации прямых трансляций лекций из поточных аудиторий и киберклассов.
9 мая отечественный видеохостинг RUTUBE сообщил о масштабной АРТ-атаке, из-за которой сайт сервиса прекратил работать. Компания сообщила, что сервис столкнулся с самой сильной АРТ-атакой за всю историю своего существования. 11 мая работа сервиса была частично восстановлена.
АРТ-атака (Advanced Persistent Threat) – это целевая продолжительная атака повышенной сложности, задача которой является обнаружение на устройстве пользователя секретной, конфиденциальной или любой ценной информации и использование ее в интересах киберпреступников. Эти атаки не являются случайными. Хакеры тщательное выбирают своих жертв. Ими обычно являются крупные компании или даже правительственные организации, которые имеют дело с сверхсекретными данными, например, военными и финансовыми вопросами или патентами.
Как указывают бывшие сотрудники, 9 мая специалисты хостинга зафиксировали атаку примерно между 3 и 4 часами утра МСК, но не смогли оперативно отреагировать, а через некоторое время «сервис попросту удалился». Хакеры проникли в систему, получили доступ к админке и модифицировали исходный код Rutube так, чтобы он удалял данные из файлохранилища сервиса. Хакерам не удалось удалить исходный код сервиса, но в результате инцидента Rutube всё равно потеряет часть контента, утверждают бывшие сотрудники.
Генеральный директор сервиса Александр Моисеев в эфире «Летучки» рассказал о состоянии платформы на сегодняшний день: «Сейчас Rutube работает с ограниченным функционалом, видеохостинг постепенно наращивает нагрузку. После восстановления Rutube вернётся к уровню модернизации на момент до атаки и продолжит развиваться в соответствии с дорожной картой. Поиск должен появиться одним из первых. Мы запустили переиндексацию (процесс, необходимый для того, чтобы поиск был точный и быстрый) в ручном режиме, и в ближайшее время планируем восстановить эту опцию полностью.
Для нас главное — чтобы платформа работала устойчиво и представляла собой качественный продукт, была удобна для пользователей. Мы продолжим расширять функционал и, конечно, контентное предложение. Но Rutube – это народный видеохостинг, и то, каким он станет, зависит и от наших пользователей. Мы прислушиваемся к аудитории и делаем многое из того, о чём просят пользователи. Rutube будет таким, каким мы его сделаем».
Александр Моисеев напомнил, что код платформы работает. Недоступность Rutube в течение двух суток была связана с программными «закладками», оставленными злоумышленниками, которые пришлось устранять вручную. Специалисты уже завершили наиболее важный этап восстановления платформы.
Полезная информация от сотрудников лаборатории Касперского:
Кибератаки становятся все более распространенными. Сочетание нескольких признаков может предупредить о потенциальной APT-атаке. К предупреждающим знакам, по мнению сотрудников лаборатории Касперского, относятся:
- Целевые фишинговые сообщения в электронной почте:
Хакерам нужен вход в систему, и для этого они часто используют электронную почту. Основываясь на данных разведки, проводимой перед атакой, злоумышленники выбирают темы, которые могут вызвать интерес у нужных им сотрудников. Сообщения могут содержать зараженное вложение или ссылку, которая загружает программу, предоставляющую доступ к системе. - Старые логины:
Отслеживайте и анализируйте количество входов в вашу сеть. Если вы заметили, что в нерабочее время выполняется много входов в систему или используются какие-то необычные шаблоны входа, насторожитесь. - Распространенные трояны-бэкдоры:
Для обеспечения постоянного доступа к компьютерам хакеры часто используют трояны-бэкдоры – программы, позволяющие злоумышленникам удаленно подключаться к компьютерам в скомпрометированных сетях и отправлять/получать команды. - Перемещение данных:
Нельзя оставлять без внимания случаи пересылки больших пакетов информации, изменения месторасположения файлов или перемещения данных с сервера на сервер. Необходимо отслеживать информацию, передаваемую с компьютера на компьютер внутри сети, а также данные, отправляемые на внешние устройства; контролировать необычные подключения, в том числе - к внешним ресурсам.
Советы сотрудников лаборатории Касперского по предотвращению APT-атак:
- Многие APT-атаки начинаются с мошеннического электронного письма, которое помогает злоумышленнику получить доступ к системе. Сотрудники должны знать, что делать и кого уведомлять в случае обнаружения чего-то подозрительного. Остановить атаку прежде, чем она начнется, - лучший способ снизить риски.
- Важно регулярно обновлять программы кибербезопасности.
- Необходимо обеспечить большую безопасность конфиденциальной информации: не предоставлять автоматически права администратора сотрудникам, которым они не нужны; ограничить доступ к данным и возможность их редактирования, чтобы уменьшить вероятность случайных изменений.