Массовый взлом Oracle PeopleSoft: группировка ShinyHunters украла данные более чем у 100 университетов

Ключевым инструментом атаки стала так называемая «цепочка гаджетов» (gadget chain). Это техника, при которой хакеры объединяют несколько старых, уже известных уязвимостей, с новыми, еще не исправленными (уязвимостями нулевого дня) для создания атаки, которую невозможно остановить стандартными патчами . Сами злоумышленники в разговоре с порталом BleepingComputer отметили, что атака срабатывает не на всех системах — ее успех зависит от конкретной конфигурации экземпляра PeopleSoft у жертвы .

Схема действий ShinyHunters не меняется годами: это модель «плати или твои данные утекут» (pay-or-leak). Если организация отказывается платить выкуп, украденная информация публикуется на специальном сайте группировки в даркнете .

Главный удар пришелся на образование

Под основным ударом оказались университеты. Это уже третья крупная атака ShinyHunters на образовательный сектор за 2026 год, что говорит о целенаправленной стратегии. Ранее жертвами становились пользователи систем Canvas (Instructure) и Salesforce Experience Cloud .

Одной из подтвержденных жертв стал Ноттингемский университет — престижное учебное заведение из группы «краснокирпичных» университетов Великобритании. Атака была совершена в конце мая 2026 года, когда хакеры проникли в систему Campus Solutions, построенную на базе Oracle PeopleSoft и предназначенную для управления всеми данными о студентах .

Образец похищенных данных, опубликованный ShinyHunters в качестве доказательства, включал в себя личные дела студентов и абитуриентов, информацию о финансовой помощи, иммиграционные документы, медицинские карты и административные записи . Группировка заявила, что в общей сложности было украдено более 40 ГБ конфиденциальной информации. В этот массив данных вошли платежные и расчетные реквизиты, детали кредитных карт, сведения о студенческих займах и стипендиях, а также экспортированные данные порталов кампусов вуза в Великобритании, Малайзии и Китае .

Эволюция хакера: от телефонного мошенника до охотника за «нулевыми днями»

Атака на PeopleSoft стала важным тактическим поворотом для ShinyHunters. Весь 2025 и начало 2026 года группировка действовала по совершенно иной схеме: ее визитной карточкой были атаки на человеческий фактор. Они выдавали себя за сотрудников IT-поддержки, звонили сотрудникам компаний по телефону (вишинг) и направляли их на фишинговые сайты, неотличимые от корпоративных порталов, чтобы украсть учетные данные для единого входа (SSO) и коды многофакторной аутентификации . В отчетах компаний Mandiant и Google Threat Intelligence Group подробно задокументированы эти методы .

Брифинг по киберугрозам The Crosswalk прямо указывал, что ShinyHunters «почти никогда не используют уязвимости программного обеспечения», полагаясь вместо этого на обман службы поддержки, компрометацию MFA-кодов сотрудников и токены OAuth от сторонних SaaS-приложений . Нынешняя атака полностью ломает этот стереотип. Использование реальных программных эксплойтов, включая уязвимости нулевого дня, указывает на рост технических возможностей группировки или на сотрудничество с более квалифицированными хакерами .

Реакция Oracle и властей — информационный вакуум

По состоянию на 10 июня 2026 года Oracle не делал никаких публичных заявлений и не выпускал предупреждений безопасности, касающихся данной кампании. Официальной информации о патчах, закрывающих конкретно эти векторы атак, также не поступало . Такое молчание со стороны технологического гиганта вызывает особую тревогу у тысяч организаций по всему миру, которые ежедневно зависят от PeopleSoft.

Британские власти, включая Управление комиссара по информации (ICO) и правоохранительные органы, на момент атаки также хранили молчание и не делали публичных заявлений. Ноттингемский университет взял управление ситуацией в свои руки, напрямую проинформировав студентов и временно отключив скомпрометированные системы для проведения внутреннего расследования .

Что с индикаторами компрометации и как защититься?

Ситуация для служб безопасности осложняется тем, что сообщество кибербезопасности еще не опубликовало широкого списка специфических индикаторов компрометации (IoCs), таких как IP-адреса или хеши файлов, непосредственно связанных с этой кампанией против PeopleSoft. Компания Huntress ранее публиковала более общий профиль угрозы ShinyHunters с сетевыми индикаторами, но они относятся к их SaaS-атакам, а не к эксплуатации PeopleSoft .

В брифинге The Crosswalk также отмечается, что традиционные методы ShinyHunters, связанные с кражей учетных данных, редко генерируют специфические для уязвимостей индикаторы, что делает проактивный поиск угроз для этой конкретной кампании крайне затруднительным .

Взрывной рост активности ShinyHunters в 2026 году

Атака на Oracle PeopleSoft — лишь одно звено в цепи разрушительной активности ShinyHunters, которая нарастала как снежный ком в 2026 году:

• Начало 2026 года: Кампания AuraInspector использовала неправильные настройки в Salesforce Experience Cloud. ShinyHunters заявили, что таким образом пострадали около 400 организаций .
• Февраль 2026 года: Взлом сети казино и отелей Wynn Resorts, в ходе которого были скомпрометированы данные более чем 800 000 сотрудников. Первоначальный доступ, по иронии судьбы, также был получен через уязвимость в Oracle PeopleSoft .
• Апрель–май 2026 года: Беспрецедентный взлом образовательной платформы Canvas/Instructure — крупнейшая кража данных в истории образовательного сектора. ShinyHunters заявили о краже 275 миллионов записей из примерно 8 000 – 9 000 учреждений .
• Май–июнь 2026 года: Утечка данных 4.9 миллиона клиентов телекоммуникационной компании Charter Communications .
• Июнь 2026 года: Атака на Oracle PeopleSoft, добавившая в список жертв еще более 100 организаций и 300+ серверов .

Этот всплеск эксплуатации уязвимостей отражает общемировой тренд. В отчете Verizon Data Breach Investigations Report (DBIR) за 2026 год подтверждается структурный сдвиг: впервые за 19 лет наблюдений эксплуатация уязвимостей обогнала использование украденных учетных данных в качестве основного вектора атак .

Для университетов по всему миру, включая российские, которые также активно используют централизованные образовательные платформы, урок этого инцидента предельно ясен. Технологическая консолидация и зависимость от единых поставщиков программного обеспечения, сделавшие удаленное обучение и управление вузом удобным, одновременно превратили эти системы в катастрофически уязвимые точки отказа. Одна незакрытая брешь в настройке или коде — и под угрозой оказываются данные тысяч студентов и преподавателей .