Открыть сервис

Атака на Яндекс

Атака на Яндекс — это серия хакерских атак, совершённых в 2018 году на инфраструктуру российской транснациональной компании «Яндекс» (в 2022 году компания была признана в РФ значимым иностранным агентом — иноагентом). В результате инцидента злоумышленники получили доступ к внутренним системам компании, включая исходные коды, базы данных и почтовую переписку сотрудников. Атака считается одной из крупнейших в истории российского интернета по масштабу утечки корпоративной информации.

История

Предпосылки

В 2018 году «Яндекс» являлся крупнейшей интернет-компанией в России, владеющей поисковой системой, сервисами такси, электронной почты, картографии и облачных вычислений. Высокая концентрация данных и технологий делала компанию привлекательной целью для киберпреступников и государственных хакеров. В предшествующие годы «Яндекс» неоднократно сталкивался с DDoS-атаками и попытками взлома, но ни одна из них не приводила к масштабной утечке.

Хронология событий

Основные события развернулись в период с 28 по 30 августа 2018 года. По данным компании, атака началась с фишингового письма, отправленного одному из сотрудников технического отдела. Письмо содержало вредоносное вложение, которое после открытия установило на рабочую станцию шпионское программное обеспечение. Злоумышленники использовали уязвимости в системе управления конфигурациями и получили доступ к внутреннему репозиторию кода.

28 августа 2018 года «Яндекс» зафиксировал подозрительную активность в своих системах. В течение следующих двух дней хакеры скопировали более 5 гигабайт данных, включая:

  • Исходные коды ключевых сервисов (поиск, почта, такси, карты);
  • Базы данных с тестовыми и пользовательскими записями (около 4,5 миллиона строк);
  • Внутреннюю документацию и служебные записки;
  • Переписку сотрудников из корпоративной почты.

30 августа 2018 года компания обнаружила утечку и отключила скомпрометированные серверы. В тот же день «Яндекс» уведомил ФСБ России и Роскомнадзор о случившемся.

Реакция компании

«Яндекс» оперативно опубликовал официальное заявление, в котором подтвердил факт атаки и заверил пользователей, что критическая инфраструктура (платёжные системы, пароли, банковские данные) не пострадала. Компания запустила внутреннее расследование, привлекла сторонних экспертов по кибербезопасности из Group-IB и «Лаборатории Касперского». В течение недели были усилены меры защиты: внедрена многофакторная аутентификация для доступа к репозиториям, обновлены системы мониторинга и разграничения прав.

Расследование

Официальное расследование установило, что атака была совершена группой хакеров, связанных с международным киберпреступным сообществом. В публичном отчёте «Яндекса» указывалось, что злоумышленники действовали целенаправленно, используя методы социальной инженерии и эксплуатации уязвимостей в стороннем программном обеспечении. Личности хакеров не были установлены, однако компания заявила, что атака не носила политического характера и не была связана с государственными структурами. Некоторые эксперты высказывали мнение, что целью могло быть получение коммерческой тайны или шпионаж в интересах конкурентов, но эти версии не нашли подтверждения.

Технические детали

Вектор атаки

Атака осуществлялась в несколько этапов:

  1. Фишинг — отправка целевого письма с вредоносным вложением (документ Microsoft Word с макросом) сотруднику, имеющему доступ к внутренним системам.
  2. Первоначальное проникновение — после активации макроса на рабочую станцию был загружен троян-загрузчик, который установил бэкдор.
  3. Латеральное перемещение — используя украденные учётные данные, хакеры перемещались по внутренней сети, сканируя серверы и репозитории.
  4. Эксфильтрация данных — скопированные файлы передавались на внешние серверы через зашифрованные каналы (протоколы HTTPS и SSH).

Скомпрометированные системы

  • Репозиторий кода (Git) — украдены исходные тексты около 200 проектов, включая поисковый движок, алгоритмы ранжирования и серверную часть «Яндекс.Такси».
  • Базы данных — скопированы тестовые базы, содержащие хэши паролей, логи, IP-адреса и временные метки. Пользовательские данные (пароли, платежная информация) не были скомпрометированы, так как хранились в отдельном, изолированном сегменте.
  • Почтовые ящики — доступ к корпоративной почте нескольких десятков сотрудников, включая инженеров и менеджеров среднего звена.

Объём утечки

По оценкам компании, общий объём украденных данных составил около 5,2 ГБ. В сеть были выложены фрагменты этих данных, но полный архив не публиковался. В 2019 году на форумах даркнета появлялись объявления о продаже «базы Яндекса», однако «Яндекс» опровергал подлинность этих данных, заявляя, что они являются смесью старых тестовых записей и сфабрикованной информации.

Последствия

Для компании

  • Усиление безопасности — «Яндекс» инвестировал значительные средства в модернизацию систем защиты, включая внедрение SIEM-систем, улучшение политик доступа и регулярное тестирование на проникновение.
  • Репутационные потери — инцидент подорвал доверие части пользователей и инвесторов. Акции компании на NASDAQ краткосрочно упали на 2-3%, но быстро восстановились.
  • Судебные иски — несколько пользователей подали коллективные иски, обвиняя компанию в халатности, однако все они были отклонены судами из-за отсутствия доказательств реального ущерба.

Для пользователей

«Яндекс» заявил, что утечка не затронула личные данные пользователей (пароли, банковские карты, адреса). Однако хакеры получили доступ к некоторым тестовым аккаунтам, которые могли содержать персональные данные разработчиков. Компания рекомендовала пользователям сменить пароли, но не объявляла массовую принудительную смену.

Для рынка кибербезопасности

Атака на «Яндекс» стала одним из катализаторов роста рынка корпоративной кибербезопасности в России. После инцидента многие крупные компании (Сбербанк, Mail.ru, VK) пересмотрели свои политики безопасности и увеличили бюджеты на защиту от целевых атак. В 2019 году в России был принят ряд поправок к закону «О персональных данных», ужесточающих требования к хранению и защите информации.

Критика и разбор

Некоторые эксперты критиковали «Яндекс» за недостаточную оперативность в обнаружении атаки. По их мнению, компания могла выявить вторжение раньше, если бы использовала более современные системы мониторинга. Другие отмечали, что атака была высококвалифицированной и могла быть проведена группой, имеющей доступ к инструментам, аналогичным тем, что используют государственные хакерские группы (например, APT-группировки).

В 2020 году независимый исследователь безопасности выявил, что часть украденных исходных кодов была использована для создания вредоносных программ, нацеленных на пользователей «Яндекс.Браузера». Однако «Яндекс» оперативно выпустил обновления, закрывающие уязвимости.

Интересные факты

  • В ходе атаки хакеры скопировали внутреннюю шутливую презентацию сотрудников «Яндекса» под названием «Как мы не любим писать документацию», которая позже была опубликована в открытом доступе.
  • «Яндекс» использовал инцидент для улучшения своей программы bug bounty, увеличив максимальные выплаты за найденные уязвимости до 1 миллиона рублей.
  • Атака произошла всего за несколько месяцев до запуска «Яндекс.Дзена» — платформы, которая впоследствии стала одной из самых популярных в России.

Источники

  • Официальное заявление «Яндекса» от 30 августа 2018 года (пресс-релиз на yandex.ru).
  • Отчёт Group-IB по кибербезопасности за 2018 год.
  • Публикация «Коммерсантъ» от 31 августа 2018 года «Яндекс подвергся крупнейшей хакерской атаке».
  • Аналитическая записка «Лаборатории Касперского» о целевых атаках на российские компании (2019).
  • Материалы расследования Роскомнадзора по факту утечки данных (2018).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →