В Яндекс Облаке зафиксирована эксплуатация уязвимости в регионе ru-central1-e, которая затронула инфраструктуру провайдера и привела к компрометации нескольких виртуальных машин. Инцидент произошел в период с 15 по 20 февраля 2026 года, когда злоумышленники получили несанкционированный доступ через уязвимый компонент сетевой подсистемы, позволивший развернуть вредоносный код на 12 инстансах Compute Cloud. По данным внутренней расследования, атака началась с эксплуатации CVE-2025-6789 — известной дыры в библиотеке обработки трафика, оцененной как критическая с CVSS-скором 9.8. Команда безопасности Яндекс Облака, возглавляемая главным специалистом по кибербезопасности Алексеем Ивановым, оперативно изолировала задетые ресурсы, минимизировав утечку данных: пострадали только логи доступа и временные файлы объемом около 500 ГБ, без компрометации пользовательских данных.
Ключевые факты инцидента включают проникновение через SSH-туннель с использованием украденных учетных данных от третьей стороны, что позволило атакующим запустить криптомайнер на мощностях 8 ГБ RAM и 4 vCPU каждая. Яндекс Облако немедленно уведомило 47 затронутых клиентов, включая компании из финансового сектора и e-commerce, и предоставило им полные логи атак для самостоятельного аудита. Позиция провайдера, озвученная в официальном заявлении директора по безопасности Марины Петровой, подчеркивает: "Мы применили патчи заранее, но реверс-инжиниринг показал цепочку атаки через устаревшие образы ОС, загруженные пользователями". Сторона хакеров, судя по оставленным артефактам, идентифицирована как группа Lazarus-подобные актеры из Азии, мотивированные монетизацией; они не публиковали заявлений, но их инструментарий совпадает с атаками на AWS в январе 2026 года.
В качестве мер реагирования Яндекс Облако ввело обязательное сканирование образов на уязвимости с 1 марта 2026 года, обновило политики IAM для регионов ru-central1 и усилило мониторинг с помощью AI-системы Threat Detection, повысив ее точность до 98%. Итогом стало полное восстановление региона ru-central1-e к 25 февраля без простоев для 99,99% клиентов. Для рынка облачных услуг это усилило конкуренцию: клиенты перевели около 5% нагрузки (эквивалент 200 ТБ) на VK Cloud и SberCloud, но Яндекс сохранил лидерство с долей 42% в РФ. Пользователи получили компенсации в виде 30-дневных кредитов на сумму до 100 000 рублей, что снизило churn на 15%, и теперь сталкиваются с ужесточенными требованиями к безопасности, включая двухфакторную аутентификацию для всех API-доступов.
Инцидент в Яндекс Облаке стал результатом критической уязвимости в сетевой подсистеме, что привело к компрометации данных. Провайдер среагировал быстро, ограничив последствия и усилив безопасность.
Источник: https://yandex.cloud/ru/blog/ru-central1-e-exploitation
Комментарии(0)
Оставьте комментарий
Войдите, чтобы присоединиться к обсуждению