Свежий отчет Google Cloud Threat Horizons зафиксировал глобальный сдвиг в методах кибератак на облачную инфраструктуру. Впервые в истории дыры в стороннем программном обеспечении стали более популярным инструментом взлома, чем кража учётных данных.

Согласно данным отчета Cloud Threat Horizons Report H1 2026, за последний год тактика киберпреступников при атаках на облачные среды существенно изменилась. Доля инцидентов, связанных с эксплуатацией уязвимостей в программном обеспечении, увеличилась с 2,9% до 44,5%. Этот вектор стал основным способом первоначального доступа к системам, впервые опередив использование слабых паролей.

Атаки через скомпрометированные или отсутствующие учётные данные опустились на второе место, их доля снизилась с 47,1% до 27,2%. Ещё 21% всех зафиксированных инцидентов приходится на неверные настройки конфигурации облачных систем. По мнению аналитиков Google, такие изменения вызваны тем, что провайдеры улучшили защиту идентификации и внедрили безопасные настройки по умолчанию, вынудив хакеров искать новые пути проникновения через сторонний софт.

Специалисты Google отмечают резкое сокращение времени между публикацией данных об уязвимости (CVE) и её реальным использованием в атаках. Сейчас это окно составляет считаные дни. В качестве примера приводится инцидент с React2Shell: злоумышленникам потребовалось всего 48 часов после раскрытия ошибки, чтобы начать массовое развёртывание криптомайнеров XMRig в облачных средах жертв.

Хакеры активно автоматизируют поиск уязвимых приложений, размещённых в облаке. Высокий уровень риска подтверждается недавним обнаружением критической уязвимости в решениях BeyondTrust Remote Support и Privileged Remote Access (CVE-2026-1731). Этот изъян с рейтингом CVSSv4 9.9 позволяет неавторизованным пользователям выполнять произвольные команды. Демонстрационный код эксплойта (PoC) появился на GitHub всего через четыре дня после раскрытия информации об уязвимости.

Около 21% всех облачных вторжений в 2025 году были связаны с компрометацией доверенных отношений со сторонними организациями. Группа UNC6395 использовала украденные OAuth-токены приложения Salesloft Drift для проведения разведки и эксфильтрации данных из систем Salesforce. Также зафиксированы случаи злоупотребления токенами Salesforce Gainsight для получения несанкционированного доступа.

Особую опасность представляют атаки на цепочки поставок через репозитории и инструменты разработчиков. В одном из случаев вредоносный пакет QUIETVAULT в NPM похитил токен разработчика GitHub. Через скомпрометированный CI/CD-конвейер атакующие получили временные ключи доступа к облачной платформе и менее чем за 72 часа получили права администратора. Это позволило им выгрузить конфиденциальные данные и уничтожить часть инфраструктуры.

Технологии искусственного интеллекта начинают играть двойственную роль в сфере облачной безопасности. По данным экспертов, AI ускоряет поиск уязвимостей обеими сторонами, что ещё сильнее сокращает время, доступное компаниям на установку патчей. В таких условиях фокус защиты смещается с периметра организации на мониторинг всей цепочки SaaS-связей и инструментов разработки.

Специалисты подчеркивают необходимость усиленного контроля не только собственных систем, но и всех внешних библиотек и интеграций. Безопасность облака теперь напрямую зависит от защищенности систем привилегированного доступа, компрометация которых открывает злоумышленникам возможности для свободного перемещения внутри корпоративной сети. На текущий момент открытые интерфейсы остаются вектором атаки в 4,9% случаев.